In het op 25 augustus gepubliceerde advies, Karim Toubba, verklaarde de LastPass Ceo dat een onbevoegde partij had gestolen “ delen van de broncode en een aantal bedrijfseigen technische informatie van LastPass .” De wachtwoorden of accounts van klanten werden echter niet aangetast.

Het wachtwoordbeheerbedrijf werd een paar weken geleden gehackt in een van de grootste beveiligingsinbreuken van 2022. Insiders onthulden enkele details aan meerdere nieuwsbronnen waarin stond dat werknemers na de inbreuk probeerden de aanval in te dammen.



LastPass is twee weken geleden gehackt; Advies uitgebracht op 25 augustus

Een hacker infiltreerde twee weken geleden LastPass, de wachtwoordbeheerder van GoTo (voorheen LogMeIn, Inc). Uit het eerste onderzoek van het bedrijf blijkt dat de inbraak alleen in staat was om de interne systemen van het bedrijf voor softwareontwikkeling in beslag te nemen.

Gelukkig zijn er geen gegevens over klantwachtwoorden en details aangetast. Op donderdag 25 augustus 2022 stuurde LastPass een e-mail naar klanten over de inbreuk.



We hebben vastgesteld dat een onbevoegde partij toegang heeft gekregen tot delen van de LastPass-ontwikkelomgeving via een enkele gecompromitteerde ontwikkelaarsaccount en delen van de broncode en een aantal bedrijfseigen technische informatie van LastPass hebben meegenomen. ', stond in de e-mail.

We hebben geen bewijs dat dit incident betrekking had op toegang tot klantgegevens of gecodeerde wachtwoordkluizen ”, voegde het eraan toe.

LastPass heeft inperkings- en mitigatiemaatregelen genomen

Als reactie op het datalek heeft LastPass 'inperkings- en mitigatiemaatregelen' genomen. Daarnaast hebben ze ook een toonaangevend cyberbeveiligingsbedrijf ingehuurd om de inbraak te onderzoeken. Het bedrijf heeft ook een FAQ bevestigen dat alle LastPass-producten en -services ononderbroken zijn en normaal werken.

LastPass heeft geen andere details gedeeld omdat de wachtwoordbeheerder een forensisch onderzoek start. De grootste zorg blijft echter dat de gestolen eigendomsgegevens plaats kunnen maken voor cybercriminelen om kwetsbaarheden in de activiteiten van het bedrijf aan het licht te brengen.

Voorlopig staat in de veelgestelde vragen van het bedrijf dat LastPass geen informatie opslaat over het 'hoofdwachtwoord' dat klanten gebruiken om toegang te krijgen tot hun accounts via de wachtwoordbeheerservices.

In plaats daarvan werkt het bedrijf met een 'zero-knowledge-encryptie'-mechanisme om de toegang tot het account van een gebruiker te ontgrendelen. Dit betekent dat het hoofdwachtwoord alleen wordt opgeslagen op het apparaat van de klant en in zijn geheugen.

Hoe kunt u uzelf beschermen tegen de LastPass-gegevensinbreuk?

Aangezien LastPass het hoofdwachtwoord nergens opslaat en het 'zero knowledge'-model gebruikt, hoeft u zich geen zorgen te maken als u een LastPass-gebruiker bent. Het bedrijf blijft echter bezorgd om toekomstige hackpogingen of compromissen te voorkomen.

In de veelgestelde vragen van de wachtwoordbeheerder staat ook: 'Op dit moment raden we geen actie aan namens onze gebruikers of beheerders.' Als u zich nog steeds zorgen maakt, kunt u enkele algemene maatregelen nemen, zoals het wijzigen van uw hoofdwachtwoord en het niet op uw apparaat opslaan.

U moet ook een sterke combinatie van alfabetten en cijfers gebruiken om uw wachtwoord te maken. Gebruik geen willekeurige reeksen zoals 12345678 of algemene woorden zoals uw naam of locatie. Het gebruik van een moeilijk te kraken wachtwoord online is tegenwoordig een must.

Uw LastPass-hoofdwachtwoord wijzigen

Het hoofdwachtwoord voor uw LastPass-account is een alles-in-één-sleutel waarmee u toegang krijgt tot alles in uw account, inclusief alle sitewachtwoorden, beveiligde notities, formulierinvulitems, enz. Volg deze stappen om uw LastPass-hoofdwachtwoord te wijzigen:

  • Start een webbrowser en bezoek deze pagina .
  • Log nu in met uw e-mailadres en hoofdwachtwoord.
  • Kies vervolgens Accountinstellingen in de linkernavigatie.
  • Klik op het tabblad Algemeen op 'Hoofdwachtwoord wijzigen'.

  • Voer nu uw huidige hoofdwachtwoord in.
  • Voer vervolgens een nieuw hoofdwachtwoord in en voer een wachtwoordhint in.
  • Klik ten slotte op 'Hoofdwachtwoord opslaan'.

Nadat u het hoofdwachtwoord opnieuw hebt ingesteld, schrijft u het op een stuk papier met een balpen en bewaart u het papier op een veilige plaats. Gooi het niet weg in een willekeurige la of onder je matras. Het maken van een kopie van het papier wordt ook aanbevolen.

LastPass had vorig jaar ook te maken met een vulling van de inloggegevens

LastPass kreeg vorig jaar ook te maken met een aanval op het vullen van inloggegevens, waardoor bedreigingsacteurs toegang kregen tot hoofdwachtwoorden. Het bedrijf bevestigde dat hoofdwachtwoorden door hackers zijn gestolen. De indringers verspreidden ook de RedLine-malware voor het stelen van wachtwoorden op systemen.

LastPass heeft de volgende verklaring vrijgegeven als reactie op de aanval: ' Onze eerste bevindingen deden ons vermoeden dat deze waarschuwingen werden geactiveerd als reactie op een poging tot 'credential stuffing'-activiteit, waarbij een kwaadwillende of slechte actor toegang probeert te krijgen tot gebruikersaccounts (in dit geval LastPass) met behulp van e-mailadressen en wachtwoorden die zijn verkregen van derden. partijinbreuken met betrekking tot andere niet-gelieerde diensten .”

We hebben deze activiteit snel onderzocht en hebben op dit moment geen aanwijzingen dat LastPass-accounts zijn gecompromitteerd door een onbevoegde derde partij als gevolg van deze pogingen om de inloggegevens te vullen, noch hebben we enige aanwijzing gevonden dat de LastPass-inloggegevens van de gebruiker door malware zijn geoogst , frauduleuze browserextensies of phishing-campagnes .”

Daarvoor meldde LastPass een beveiligingsprobleem in de extensie voor Google Chrome. Hoewel het niet echt een inbreuk was, waren veel internetgebruikers bezorgd vanwege het nieuws.

Voorlopig is de situatie onder controle van het bedrijf. We houden u op de hoogte van verdere ontwikkelingen.