Terug in augustus 2022, het populaire wachtwoordbeheerderbedrijf LastPass toegelaten tot een datalek.

Het bedrijf, dat eigendom is van het software-as-a-service-bedrijf GoTo, voorheen LogMeIn, publiceerde een zeer korte maar niettemin nuttige verslag over dat incident ongeveer een maand later:

Kort gezegd concludeerde LastPass dat de aanvallers erin slaagden malware op de computer van een ontwikkelaar te implanteren.

Met een bruggenhoofd op die computer, lijkt het erop dat de aanvallers konden wachten tot de ontwikkelaar het authenticatieproces van LastPass had doorlopen, inclusief het presenteren van de benodigde multi-factor authenticatiereferenties, en ze vervolgens "meeliften" naar de ontwikkelingssystemen van het bedrijf.

LastPass hield vol dat het account van de ontwikkelaar de criminelen geen toegang had gegeven tot klantgegevens, of zelfs tot iemands gecodeerde wachtwoordkluizen.

Het bedrijf gaf echter toe dat de boeven er vandoor waren gegaan met eigendomsinformatie van LastPass, waaronder met name "een deel van onze broncode en technische informatie", en dat de boeven vier dagen in het netwerk zaten voordat ze werden opgemerkt en eruit gegooid.

Volgens LastPass bestaan ​​wachtwoorden van klanten waarvan een back-up is gemaakt op de servers van het bedrijf nooit in gedecodeerde vorm in de cloud. Het hoofdwachtwoord dat wordt gebruikt om uw opgeslagen wachtwoorden te decoderen, wordt alleen opgevraagd en gebruikt in het geheugen op uw eigen apparaten. Daarom worden alle wachtwoorden die in de cloud zijn opgeslagen, versleuteld voordat ze worden geüpload en pas weer ontsleuteld nadat ze zijn gedownload. Met andere woorden, zelfs als de gegevens van de wachtwoordkluis waren gestolen, zouden deze hoe dan ook onbegrijpelijk zijn geweest.

Laatste ontwikkelingen

Eind november 2022 echter, LastPass verder toegegeven dat er meer in het verhaal zat dan ze misschien hadden gehoopt.

Volgens een beveiligingsbulletin gedateerd 2022-11-30, werd het bedrijf onlangs opnieuw door aanvallers geschonden “met behulp van informatie verkregen bij het incident van augustus 2022”, en deze keer werden klantgegevens gestolen.

Met andere woorden, zelfs als de criminelen niet in de klantgegevens konden spitten direct uit het account van de ontwikkelaar die in augustus door malware werd geïnfecteerd, lijkt het erop dat de boeven er toch vandoor gingen met interne details die indirect gaf hen, of iemand aan wie ze de gegevens doorverkochten, later toegang tot klantinformatie.

Helaas geeft LastPass nog geen informatie over wat voor soort klantgegevens zijn gestolen, maar meldt eenvoudigweg dat dit zo is "ijverig werken om de omvang van het incident te begrijpen en te identificeren tot welke specifieke informatie toegang is verkregen".

Het enige dat LastPass op dit moment [2022-12-01-T23:30Z] met zekerheid kan zeggen, is dat te herhalen "De wachtwoorden van [onze] klanten blijven veilig versleuteld dankzij de Zero Knowledge-architectuur van LastPass."

(Nul kennis is een jargonterm die het feit weerspiegelt dat, hoewel LastPass bepaalde gegevens in de wachtwoordkluizen van zijn klanten bewaart, het geen kennis heeft van waar die gegevens eigenlijk naar verwijzen, en zelfs niet of het überhaupt uit accountnamen en wachtwoorden bestaat.)

Kortom, zelfs als uiteindelijk blijkt dat de boeven er met persoonlijke informatie zoals huisadressen, telefoonnummers en betaalkaartgegevens vandoor kunnen gaan (hoewel we natuurlijk hopen dat dit niet het geval is), zijn uw wachtwoorden nog steeds zo veilig als het hoofdwachtwoord dat je oorspronkelijk voor jezelf hebt gekozen, waar de cloudservices van LastPass nooit om vragen, laat staan ​​dat je er kopieën van bewaart.

Wat te doen?

• Als u een LastPass-klant bent, we raden u aan het beveiligingsincidentrapport van het bedrijf in de gaten te houden voor updates.
• Als u een verdediger van cyberbeveiliging bent, waarom niet luisteren deskundig advies van Sophos-cyberbeveiligingsonderzoeker Chester Wisniewski over hoe u uw eigen IT-bezit kunt beschermen tegen dit soort aanvallen om van daaruit een strandhoofd op te zoeken en verder te gaan?

In de onderstaande podcast (er is een volledig transcript als je liever leest dan luistert), bespreekt Chester a vergelijkbaar soort inbreuk dat gebeurde in september 2022 bij ride-hailing-bedrijf Uber, en herinnert je eraan waarom "verdeel en heers", ook wel bekend onder de jargonterm nul vertrouwen, is een belangrijk onderdeel van de hedendaagse cyberdefensie.

Zoals Chester uitlegt, hoewel alle inbreuken enige schade toebrengen aan uw reputatie of aan uw bedrijfsresultaten, zal het resultaat onvermijdelijk veel slechter zijn als boeven die toegang krijgen tot sommige van uw netwerk kunnen rondzwerven waar ze maar willen totdat ze toegang krijgen allen ervan.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://nakedsecurity.sophos.com/2022/12/02/lastpass-admits-to-customer-data-breach-caused-by-previous-breach/