LastPass heeft zijn gebruikers per e-mail meer informatie verstrekt over het beveiligingsincident dat plaatsvond in december, waarbij verschillende wachtwoorden en gebruikersnamen werden gehackt. Het bedrijf heeft aangegeven een grondig onderzoek te hebben uitgevoerd en geen bedreigingsrisico’s meer te zien. Echter, er blijft nog steeds een groot risico bestaan. Wat moet u precies doen?
LastPass is gehackt en de hackers hebben toegang gekregen tot de wachtwoordkluis van het bedrijf, waarbij ze meerdere gebruikersnamen en wachtwoorden konden kopiëren. Gelukkig zijn deze wachtwoorden beveiligd met 256-bit AES-encryptie, waardoor de hackers er niets mee kunnen doen.
LastPass heeft in reactie op het beveiligingsincident zijn gebruikers per e-mail op de hoogte gesteld en verwezen naar een blogbericht met meer informatie over het incident. In het blogbericht beantwoordt het bedrijf vragen over wat er precies is gebeurd, welke maatregelen het heeft genomen om de dienst beter te beveiligen en tot welke gegevens de hackers toegang hebben gekregen. Dit is de reactie van LastPass zelf.
Wat is er gebeurd?
Kwaadwillenden hebben gebruikgemaakt van een kwetsbaarheid in software van derden om de beveiliging van LastPass te omzeilen. Hierdoor konden ze onder andere toegang krijgen tot cloud-back-ups en back-upopslagomgevingen. Ze hadden toegang tot niet-versleutelde klantgegevens van LastPass, integratiegeheimen en API-geheimen. Hierdoor hadden ze een ingang tot het systeem van LastPass gecreëerd.
De hackers hebben toegang gekregen tot bedrijfseigen gegevens van LastPass en klantgegevens, waaronder gebruikersnamen en wachtwoorden van LastPass-gebruikers en alle gevoelige kluisgegevens van klanten. De hoofdwachtwoorden waren beveiligd met 256-bit AES-encryptie en waren niet toegankelijk voor de hackers.
Om de dienst beter te beveiligen, heeft LastPass nieuwe beveiligingstechnologieën geïntroduceerd in de datacenters, cloudservers en de algehele infrastructuur. LastPass heeft een e-mail gestuurd naar klanten met meer informatie over het incident en de genomen maatregelen. Let op: de bovenstaande antwoorden zijn slechts een beknopte samenvatting.
Wat moet je doen?
We adviseren onze lezers om alternatieven voor LastPass te overwegen. Hoewel de kans groot is dat de opgeslagen wachtwoorden bij LastPass momenteel veilig zijn, blijft er een risico bestaan dat er meer aanvallen op LastPass zullen volgen vanwege de gelekte broncode van de wachtwoordbeheerder. Als je ervoor kiest om toch bij LastPass te blijven, stel dan nieuwe wachtwoorden in met minimaal twaalf tekens. Hieronder vind je enkele van onze tips in de volgende artikelen.