LastPass krijgt boete van 1,4 miljoen euro wegens groot datalek
De Britse privacytoezichthouder ICO heeft de cloudgebaseerde wachtwoordmanager LastPass een boete van omgerekend 1,4 miljoen euro opgelegd wegens een groot datalek, waar alleen in het Verenigd Koninkrijk 1,6 miljoen mensen slachtoffer van werden. Van 1,2 miljoen Britten werd ook de wachtwoordkluis gestolen. Het incident deed zich in 2022 voor toen een aanvaller toegang tot de zakelijke laptop van een LastPass-medewerker in Europa wist te krijgen en vervolgens de persoonlijke laptop van een medewerker in de Verenigde Staten compromitteerde.
De aanvaller installeerde een keylogger op de laptop van deze laatste medewerker en wist zo het master password te onderscheppen. Met de gegevens van beide incidenten wist de aanvaller op de back-updatabase van LastPass in te breken en persoonlijke informatie van klanten te stelen, waaronder namen, e-mailadressen, telefoonnummers en websites waarvoor klanten inloggegevens in de wachtwoordmanager hadden opgeslagen.
De aanval op de tweede medewerker, een DevOps-engineer, was mogelijk omdat deze persoon een oude versie van Plex op zijn thuislaptop draaide. Plex is populaire software voor het opzetten van een mediaserver. De versie die de medewerker had geïnstalleerd bevatte een drie jaar oude kwetsbaarheid waar de aanvaller misbruik van maakte om het systeem met malware te infecteren.
Zodoende kon de aanvaller het master password van de engineer stelen en toegang tot zijn zakelijke LastPass-kluis krijgen. Vervolgens kon de aanvaller de inhoud van de LastPass-kluis stelen, waaronder notities met access en decryptiesleutels om toegang tot de AWS S3 LastPass productieback-ups en andere kritieke databaseback-ups van LastPass te krijgen.
Volgens de Britse privacytoezichthouder had LastPass geen robuuste beveiligingsmaatregelen getroffen om de gegevens van klanten te beschermen. Door deze tekortkoming kon de aanvaller uiteindelijk toegang tot de back-updatabase krijgen. De toezichthouder hekelt onder andere het beleid van LastPass met betrekking tot het gebruik van persoonlijke apparatuur om toegang tot zakelijke accounts te krijgen en het koppelen van zakelijke en persoonlijke accounts.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?