Hoe vaak is LastPass gehackt en is het nog veilig om te gebruiken?
Belangrijkste opmerkingen
Hoewel LastPass in de loop der tijd verschillende keren het slachtoffer is geworden van datalekken, zoals een opmerkelijk incident in 2015 waarbij e-mailadressen en primaire wachtwoorden van gebruikers in gevaar kwamen, is het belangrijk op te merken dat degenen die extra beveiligingsmaatregelen hadden genomen, gespaard hadden kunnen blijven.
Vorig jaar kwam LastPass onder vuur te liggen nadat uit een onderzoek was gebleken dat de Android app trackingmechanismen van derden bevatte, wat twijfels opriep over de veiligheidsmaatregelen. In reactie op deze beschuldigingen beweerde LastPass dat dergelijke trackers bedoeld waren voor prestatiemonitoring en dat ze naar goeddunken van de gebruiker konden worden gedeactiveerd.
Vorig jaar werd LastPass getroffen door een substantiële beveiligingsschending die resulteerde in ongeautoriseerde toegang tot klantgegevens en content die was opgeslagen in de digitale kluizen van gebruikers. Als gevolg van dit incident kwamen ook gecompromitteerde back-upbestanden aan het licht die werden beschermd door encryptie en bewijs dat suggereert dat de encryptiesleutels onrechtmatig waren verkregen.
In het licht van de vele veiligheidslekken die LastPass in het verleden heeft gekend, heeft een aanzienlijk deel van de gebruikers gekozen voor alternatieve wachtwoordbeheeroplossingen die een onberispelijke staat van dienst hebben op het gebied van gegevensbescherming.
LastPass is een veelgebruikte wachtwoordmanager die veel mensen gebruiken om hun vertrouwelijke informatie te beveiligen. Er hebben zich echter verschillende beveiligingsincidenten voorgedaan die hebben geleid tot de onthulling van klantgegevens en daardoor risico’s vormen voor de gevoelige gegevens van gebruikers.
In het licht van de recente bezorgdheid over gegevensbeveiliging kan men zich afvragen hoe vaak LastPass, een populaire dienst voor wachtwoordbeheer, te maken heeft gehad met cyberaanvallen en of het gebruik ervan veilig blijft.
LastPass 2015 Breach
Image Credit: Ervins Strauhmanis/ Flickr
In juni 2015, ongeveer zeven jaar na de oprichting, werd een ernstig beveiligingslek ontdekt bij LastPass waarbij de e-mailadressen en hoofdwachtwoordgegevens van de gebruikersgroep werden gecompromitteerd, samen met alle hint- of herinneringszinnen die werden gebruikt om ze te onthouden. Het incident kwam aan het licht toen het bedrijf ongebruikelijke netwerkactiviteit ontdekte en direct maatregelen nam om dit onder controle te krijgen. Er was echter al schade aangericht voordat deze ontdekking plaatsvond.
In een nu verlopen notitie aan klanten (beschikbaar via het Internet Archive), informeerde LastPass gebruikers dat degenen die extra beveiligingslagen zoals hashing en salting gebruikten voor hun wachtwoorden waarschijnlijk veilig waren voor de hack.Gelukkig gebruikt de meerderheid van de LastPass gebruikers deze beveiligingsmethoden, wat betekent dat slechts een klein deel van de klanten de kans had om getroffen te worden.
LastPass heeft gemeld dat er geen gebruikersaccounts zijn gecompromitteerd als gevolg van de cyberaanval, hoewel ze gebruikers sterk aanraden om hun e-mailadressen te bevestigen en vaak gebruikte hoofdwachtwoorden opnieuw in te stellen voor extra veiligheidsmaatregelen.
Een paar weken na de hack publiceerde LastPass een blogpost waarin stond dat de beveiliging was verbeterd sinds de hack, met een reeks kleine en grote veranderingen die werden doorgevoerd om klanten verder te beschermen. Een van deze veranderingen was de introductie van Hardware Security Modules (HSM’s), die de cryptografische infrastructuur van LastPass beschermen.
LastPass 2021 Tracking Incident
Hoewel LastPass in 2021 niet werd gehackt, kwam het wel in de problemen toen bleek dat zijn Android-app trackers van derden bevatte. In februari 2021 onthulde een beveiligingsanalyse-app genaamd Exodus Privacy dat het zeven trackers had gevonden in de LastPass Android-app, waardoor gebruikers argwanend werden. Beveiligingsonderzoeker Mike Kuketz gaf commentaar op de ontdekking in een Kuketz IT Security blog post , waarin hij stelde dat “het volledig uit den boze is om [advertenties en trackers] te integreren in password manager apps.”
LastPass, een populaire wachtwoordmanager voor mobiele apparaten, heeft ontdekt dat het verschillende trackers van derden bevat in zijn applicatie. Deze trackers werden geïdentificeerd door cybersecurity expert Andrew Kuketz, die de praktijk bekritiseerde als zeer verdacht met betrekking tot de privacy van gebruikers en gegevensbescherming. De trackers die LastPass gebruikte waren onder andere die van Google Analytics, Segment en AppsFlyer. Volgens Kuketz bracht het verlenen van zo’n uitgebreide toegang tot marketinganalyseservices aanzienlijke risico’s met zich mee voor de persoonlijke informatie en online veiligheid van gebruikers.
Om vast te stellen of de trackers van de LastPass Android-applicatie continu gebruikersactiviteiten monitoren, moet de software handmatig worden geïnspecteerd. Hoewel het loutere bestaan van deze trackers kan duiden op een gebrek aan prioriteit ten aanzien van het waarborgen van de veiligheid in de applicatie, is verder onderzoek nodig om hun actieve volgmogelijkheden te bevestigen.
In antwoord op deze kritiek heeft LastPass gebruikers laten weten dat het wel degelijk gebruik maakt van analysetools.LastPass benadrukte dat dit werd gedaan om inzicht te krijgen in “telemetrie van de applicatie, fout- en crashrapportagegegevens, evenals statistische informatie op hoog niveau over het gebruik om uiteindelijk de algehele prestaties, betrouwbaarheid en bruikbaarheid van [de app] te verbeteren”.
De optionele aard van de analytische component binnen de LastPass-applicatie deed niets af aan de negatieve perceptie van de opname ervan onder zowel beveiligingsexperts als eindgebruikers.
LastPass 2022 Breaches
LastPass onderging een volgende cyberaanval in 2022, die uitdagend bleek en volgde op een eerste inbreuk in 2015. De gebeurtenissen in 2022 hadden aanzienlijke gevolgen, zoals blijkt uit de aanhoudende impact in 2023.
In augustus 2022 kregen we te horen dat een onbevoegd persoon toegang had gekregen tot de laptops van een van onze ontwikkelaars, waardoor onze broncode en ons cloudgebaseerde ontwikkelplatform mogelijk in gevaar waren gekomen. Ondanks het feit dat dit een reden tot zorg is, zijn we blij te kunnen melden dat er geen klantgegevens zijn verkregen door de dader.
Na een korte periode van relatieve stabiliteit verslechterden de omstandigheden opnieuw. In december 2022 onthulde LastPass dat het beveiligingslek dat in augustus had plaatsgevonden cybercriminelen toegang had verschaft tot extra gevoelige aspecten van hun netwerk, die aanvankelijk in november waren gecompromitteerd. Tijdens deze daaropvolgende inbraak kregen onbevoegden toegang tot persoonlijke informatie van klanten van LastPass, waaronder e-mail- en internetprotocol (IP)-adresgegevens, telefoonnummer- en naamgegevens. Bovendien werden ook bepaalde categorieën gegevens in de digitale kluizen van gebruikers blootgelegd, waaronder vertrouwelijke inloggegevens die worden gebruikt om de toegang tot verschillende online diensten te verifiëren.
Het lijdt geen twijfel dat LastPass zich in een hachelijke positie bevindt, met gebeurtenissen die zich in 2023 snel ontvouwen en geen tekenen van afzwakking vertonen.
De gevolgen van 2023
Ondanks het feit dat er geen nieuwe inbreuken werden vastgesteld met betrekking tot LastPass in het jaar 2023, doken er steeds meer verontrustende details op over incidenten die plaatsvonden in 2022.
In januari 2023 gaf het moederbedrijf van LastPass, GoTo, een verklaring vrij over de gevolgen van de hacks in 2022. GoTo’s verklaring legde uit dat verschillende andere diensten van het bedrijf, waaronder Central, Hamachi, Pro, join.me en RemotelyAnywhere, ook het doelwit waren van aanvallers via een cloudopslagapparaat van een derde partij. Vanaf dit apparaat stalen aanvallers versleutelde back-ups.Bovendien onthulde GoTo dat het bewijs had gevonden dat er ook toegang was verkregen tot een coderingssleutel voor enkele van de gestolen back-ups.
In februari 2023 kwam LastPass opnieuw in het nieuws nadat was onthuld dat er in de periode tussen de twee grote inbreuken in 2022 aanwijzingen waren van aanvullende snode activiteiten van de daders.
In overeenstemming met de informatie in het vorige bericht is gemeld dat cybercriminelen in november 2022 met succes de persoonlijke computer van een hooggeplaatste medewerker van LastPass hebben gekraakt door misbruik te maken van een beveiligingslek in het softwaremedium. Na deze inbraak gebruikten de aanvallers een tool voor het vastleggen van toetsaanslagen waarmee ze de invoer van de persoon op het toetsenbord konden volgen en opnemen en zo toegang kregen tot gevoelige informatie.
De bovengenoemde inbraak stelde indringers in staat om toegang te krijgen tot de gevoelige informatie die was opgeslagen in de LastPass-bedrijfskluis, die werd beschermd door het hoofdwachtwoord van de ontwikkelaar. Ongelooflijk genoeg is onthuld dat slechts vier personen van het senior ontwikkelteam van het bedrijf bevoorrechte toegang hadden tot deze kritieke bron, maar zelfs met zo’n beperkte blootstelling waren cybercriminelen in staat om effectief het systeem binnen te dringen en het account van ten minste één ontwikkelaar te compromitteren.
In 2022 gebruikten cybercriminelen gecompromitteerde inloggegevens van een datalek om voor ongeveer $4,4 miljoen aan digitale activa te stelen door ongeautoriseerde toegang tot cryptocurrency-wallets met behulp van gestolen seed phrases en privésleutels die waren verkregen tijdens een ander beveiligingsincident in hetzelfde jaar.
LastPass heeft een volledige lijst van gegevens waartoe toegang is verkregen bij de 2022 hacks als je alles wilt zien wat is blootgelegd door de 2022 incidenten.
Is LastPass nog steeds veilig om te gebruiken?
Hoewel LastPass al sinds 2008 actief is als wachtwoordmanager, is er de afgelopen jaren een alarmerend aantal datalekken en beveiligingslekken geweest. Gezien de geschiedenis van kwetsbaarheden, kan men niet anders dan zich zorgen maken over de veiligheid van het gebruik van LastPass. De vraag blijft dus - is LastPass een betrouwbare optie, of is het verstandiger om alternatieve oplossingen te zoeken?
Hoewel het gebruik van LastPass een veiliger alternatief is in vergelijking met het gebruik van standaard notitieprogramma’s of vergelijkbare gegevensopslagplaatsen, is het goed mogelijk dat er momenteel superieure wachtwoordbeheeroplossingen op de markt zijn. Helaas heeft LastPass een aantal opmerkelijke fouten gemaakt op het gebied van cyberbeveiliging, wat tot grote consternatie heeft geleid onder de gebruikers.Daarom hebben veel mensen het platform verlaten uit bezorgdheid over toekomstige inbreuken op de beveiliging en kiezen ze in plaats daarvan voor providers met een onberispelijke staat van dienst.
Dashlane en NordPass zijn illustratieve voorbeelden van gewaardeerde wachtwoordbeheerders die bekend staan om hun ongecompromitteerde beveiliging, wat suggereert dat men een wachtwoordbeheerder kan identificeren met een onberispelijke staat van dienst in dit opzicht.
Als u overweegt LastPass te verlaten en op zoek bent naar alternatieve opties, bieden we een informatieve handleiding die u begeleidt door het proces van het deactiveren van uw LastPass account. Daarnaast bieden we, voor degenen die op zoek zijn naar een veilige wachtwoordmanager, een uitgebreid overzicht van de meest betrouwbare alternatieven die beschikbaar zijn.
Hoewel LastPass in het verleden te maken heeft gehad met inbreuken op de beveiliging, hoeft dit het nog geen onbetrouwbare optie te maken voor het beveiligen van wachtwoorden. In feite biedt de applicatie nog steeds een groot aantal waardevolle functies die zijn ontworpen om gevoelige inloggegevens met gemak te beveiligen, zelfs voor diegenen die technologisch niet zo onderlegd zijn.
LastPass is niet de koning van wachtwoordbeheer
Hoewel het gebruik van LastPass voor wachtwoordopslag kan worden beschouwd als een conventionele aanpak, is het belangrijk om te erkennen dat er robuustere en beter beveiligde opties beschikbaar zijn op de markt. Deze alternatieve oplossingen kunnen een extra beschermingslaag bieden om vertrouwelijke gegevens te beschermen.