De Britse privacytoezichthouder ICO heeft de cloudgebaseerde wachtwoordmanager LastPass een boete van omgerekend 1,4 miljoen euro opgelegd wegens een groot datalek, waar alleen in het Verenigd Koninkrijk 1,6 miljoen mensen slachtoffer van werden. Van 1,2 miljoen Britten werd ook de wachtwoordkluis gestolen. Het incident deed zich in 2022 voor toen een aanvaller toegang tot de zakelijke laptop van een LastPass-medewerker in Europa wist te krijgen en vervolgens de persoonlijke laptop van een medewerker in de Verenigde Staten compromitteerde.

De aanvaller installeerde een keylogger op de laptop van deze laatste medewerker en wist zo het master password te onderscheppen. Met de gegevens van beide incidenten wist de aanvaller op de back-updatabase van LastPass in te breken en persoonlijke informatie van klanten te stelen, waaronder namen, e-mailadressen, telefoonnummers en websites waarvoor klanten inloggegevens in de wachtwoordmanager hadden opgeslagen.

De aanval op de tweede medewerker, een DevOps-engineer, was mogelijk omdat deze persoon een oude versie van Plex op zijn thuislaptop draaide. Plex is populaire software voor het opzetten van een mediaserver. De versie die de medewerker had geïnstalleerd bevatte een drie jaar oude kwetsbaarheid waar de aanvaller misbruik van maakte om het systeem met malware te infecteren.

Zodoende kon de aanvaller het master password van de engineer stelen en toegang tot zijn zakelijke LastPass-kluis krijgen. Vervolgens kon de aanvaller de inhoud van de LastPass-kluis stelen, waaronder notities met access en decryptiesleutels om toegang tot de AWS S3 LastPass productieback-ups en andere kritieke databaseback-ups van LastPass te krijgen.

Volgens de Britse privacytoezichthouder had LastPass geen robuuste beveiligingsmaatregelen getroffen om de gegevens van klanten te beschermen. Door deze tekortkoming kon de aanvaller uiteindelijk toegang tot de back-updatabase krijgen. De toezichthouder hekelt onder andere het beleid van LastPass met betrekking tot het gebruik van persoonlijke apparatuur om toegang tot zakelijke accounts te krijgen en het koppelen van zakelijke en persoonlijke accounts.