Als u uw wachtwoorden niet hebt gewijzigd na het LastPass datalek, doe het dan nu
Er gaat bijna geen week voorbij zonder dat er nieuws over een datalek in het nieuws komt. Echte gevolgen lijken zeldzaam en succesvolle aanvallen komen zo vaak voor dat het bijna verleidelijk is om ze te negeren en gewoon door te gaan. Maar bij het LastPass datalek in 2022 kregen criminelen toegang tot hele wachtwoordkluizen, wat leidde tot een reeks steeds ongeloofwaardiger ontkenningen van het bedrijf.
Het lijkt erop dat het recente beveiligingslek bij LastPass heeft geresulteerd in onbevoegde toegang en daaropvolgende verduistering van meer dan vijfendertig miljoen dollar aan digitale activa die als cryptocurrency worden geclassificeerd.
Wat gebeurde er bij de LastPass-gegevensinbraak in 2022?
Een robuuste oplossing voor wachtwoordbeheer is essentieel als iemand zijn digitale bezittingen wil beschermen door zich te houden aan goede cyberbeveiligingspraktijken. In plaats van te proberen complexe wachtwoorden te onthouden of steeds dezelfde logins te gebruiken op meerdere platformen (wat beide wordt afgeraden), automatiseert dergelijke software het genereren van robuuste verificatiecodes terwijl ze veilig worden opgeslagen in een versleutelde virtuele opslagplaats.
Door gebruik te maken van een uitzonderlijke wachtwoordmanager kan iemand toegang krijgen tot zijn beveiligde opslagplaats door een masterwachtwoordcode in te voeren, waardoor de wachtwoordbeheertool toestemming krijgt om gebruik te maken van een specifieke set aanmeldingsgegevens voor individuele websites.
Wanneer men vertrouwt op een wachtwoordmanager, vertrouwt men er verschillende gevoelige informatie aan toe, zoals e-mailaccounts, online bankgegevens, details van loyaliteitsprogramma’s en zelfs de opslag van cryptocurrency.
In augustus 2022 werd bekend dat hackers ongeautoriseerde toegang hadden gekregen tot LastPass, een online service die wordt gebruikt voor het opslaan van wachtwoorden. Ondanks meerdere verzekeringen van het tegendeel bevestigde LastPass in december van hetzelfde jaar dat de persoonlijke gegevens en versleutelde wachtwoorddatabases van sommige gebruikers inderdaad waren gecompromitteerd. Gedurende deze periode hebben een aantal personen contact opgenomen met All Things N om hun zorgen te uiten over onbevoegd gebruik van hun inloggegevens, waarvan zij dachten dat deze mogelijk verkregen waren door het beveiligingslek bij LastPass.
Ondanks wijdverspreide geruchten en ongefundeerde beweringen die op het internet circuleerden en die suggereerden dat hackers met succes gedownloade wachtwoorddatabases hadden gekraakt, bleef LastPass standvastig in haar verzekeringen aan haar klantenbestand door te beweren dat het een onpraktisch exorbitante hoeveelheid tijd zou kosten om de door de gebruiker gedefinieerde coderingssleutel in het hart van deze digitale kluizen te compromitteren.
Recente onthullingen zetten vraagtekens bij eerdere beweringen van LastPass en suggereren dat gevoelige informatie die is opgeslagen in hun kluizen is gebruikt voor illegale doeleinden, zoals blijkt uit een reeks twijfelachtige transacties.
Hoe criminelen gestolen LastPass-certificaten gebruiken
Om toegang te krijgen tot je bankrekening, is het gebruikelijk dat instellingen extra beveiligingsmaatregelen nemen die verder gaan dan alleen een wachtwoord. Meestal gaat het om het gebruik van een speciale applicatie, het ontvangen van een sms-bericht met een unieke code of het gebruik van andere methoden voor multifactorauthenticatie.
Cryptocurrency wallets die een zaadzin gebruiken voor verificatie bieden niet hetzelfde beveiligingsniveau als traditionele systemen die op een wachtwoord zijn gebaseerd. Deze zinnen bestaan meestal uit twaalf of meer woorden en geven onbeperkte toegang tot iemands cryptocurrency-bezit, inclusief privésleutels en transactiegeschiedenis. Helaas is zo’n kleine hoeveelheid informatie alles wat nodig is voor een kwaadwillende actor om ongeautoriseerde toegang te krijgen en de fondsen van een gebruiker te stelen zonder enige verdere referenties of autorisatie.
Maar een lange reeks willekeurige woorden kan net zo moeilijk te onthouden zijn als een bijzonder lastig wachtwoord, en veel mensen slaan deze op in de kluis van hun wachtwoordmanager. En, zoals The Verge meldt, is dat goed nieuws voor hackers, die miljoenen dollars aan crypto lijken te hebben gestolen.
Nick Bax, directeur analytics bij Unciphered, heeft een enorme hoeveelheid gegevens over cryptodiefstal bekeken die aan het licht zijn gekomen door Taylor Monahan van Metamask en andere onderzoekers. In september 2023 vertelde hij KrebsonSecurity dat criminelen crypto hadden verplaatst “van meerdere slachtoffers naar dezelfde blockchainadressen, waardoor het mogelijk werd om deze slachtoffers sterk aan elkaar te linken.”
Na het uitvoeren van een onderzoek door middel van interviews met getroffen personen, werd het duidelijk dat een gemeenschappelijk kenmerk onder hen het vertrouwen op LastPass was als een middel voor het opslaan van cryptografische seed phrases.
Bax heeft mensen met connecties die LastPass gebruiken aangemoedigd om hun wachtwoordgegevens bij te werken en mogelijk gecompromitteerde cryptografische informatie te verplaatsen, als voorzorgsmaatregel.
Wijzig onmiddellijk al uw wachtwoorden
Criminele elementen hebben ruimschoots de gelegenheid gehad om illegaal verkregen coderingssleutels te misbruiken om toegang te krijgen tot illegaal verkregen wachtwoordopslagplaatsen.
Het is redelijk om aan te nemen dat criminelen de voorkeur geven aan gemakkelijk overdraagbare cryptocurrencies wanneer ze gestolen inloggegevens proberen te misbruiken.Gezien hun gebrek aan urgentie is het echter zeer waarschijnlijk dat ze al toegang hebben gehad tot opgeslagen wachtwoorden in een LastPass account en deze hebben gecompromitteerd. Het is dus slechts een kwestie van tijd voordat deze individuen hun aandacht richten op minder waardevolle doelen.
Hoewel deze illegaal verkregen items niet expliciet gericht zijn op het compromitteren van e-mailaccounts, PayPal-portefeuillesaldo’s of bankinstellingen, kunnen ze nog steeds worden herverpakt en overgedragen aan andere gewetenloze derde partijen voor verder kwaadwillig gebruik.
Het wordt ten zeerste aangeraden om elk wachtwoord dat is opgeslagen in uw LastPass-account vóór het jaar 2022 te wijzigen als het vandaag de dag nog actief wordt gebruikt.