Broncode LastPass gestolen, maar je wachtwoorden zijn niet in gevaar

Kwalijke zaak weer, gebruik lastpass al jaren. Zo zie je maar weer, is het te maken, is het te kraken.

"Broncode LastPass gestolen, maar je wachtwoorden zijn niet in gevaar"Yeh...right

Mozes kriebel hebben die hackers niets anders te doen? Probeer de CIA, FBI, KGB oid. Weer een nieuwe password manager kopen....😝

Augustus 26, 2022 bewerkt door grandma

Ik ben blij dat ik het nog om de oude manier doe wat meer werk is maar toch goed werkt dus gewoon voor elke site een andere pass gebruiken en ook zelf intypen elke keer maar weer.

3 uur geleden zei Diederik:

Ik ben blij dat ik het nog om de oude manier doe wat meer werk is maar toch goed werkt dus gewoon voor elke site een andere pass gebruiken en ook zelf intypen elke keer maar weer.

Als je Windows met een gebruikersnaam/wachtwoord/pincode gebruikt kun je op zich ook wel redelijk veilig je wachtwoorden in de EDGE browser opslaan. Deze worden versleuteld met een AES256 encryptie sleutel en zijn zonder opnieuw nogmaals je wachtwoord/pincode op te geven niet in te zien, zelfs niet als je reeds bent ingelogd. Maar goed, ik zal de laatste zijn die zal zeggen dat dat 100% veilig is, maar wel super eenvoudig, juist omdat het zo gemakkelijk is om voor iedere site een  uniek wachtwoordsleutel te genereren 💪 

Volgens mij is alles te kraken, alleen heeft het tijd nodig. Hoop dat ze de source snel weten aan te passen zodat ik niet dat ik WEER naar een ander toe moet 😐

Augustus 26, 2022 bewerkt door Maurice69

Citaat uit het originele bericht:
LastPass heeft zijn klanten per mail op de hoogte gebracht van het incident, dat zich ongeveer twee weken geleden afspeelde.

Ben ik de enige die dit mailtje niet heb ontvangen?
Of worden alleen premium gebruikers als klant aangemerkt?

Als dit laatste het geval is dan vindt ik het toch wel vreemd, dat niet elke gebruiker van deze hack op de hoogte is gesteld!

Melding van een recent beveiligingsincident

Aan alle klanten van LastPass,

Ik wil u informeren over een incident. Het is belangrijk voor ons om dit soort informatie open te delen met al onze gebruikers, zowel zakelijke klanten als particuliere LastPass-gebruikers.

Twee weken geleden hebben we ongebruikelijke activiteiten gedetecteerd in een deel van onze LastPass-omgeving voor ontwikkelaars. We hebben deze activiteiten onmiddellijk diepgaand onderzocht en er zijn geen bewijzen dat iemand bij dit incident toegang heeft verkregen tot klantgegevens of versleutelde kluizen.

We hebben achterhaald dat een ongeoorloofde partij toegang heeft gekregen tot delen van onze omgeving voor ontwikkelaars, via één ontwikkelaarsaccount dat gelekt was. De hackers hebben delen van onze broncode en enkele intellectuele eigendommen van LastPass gekopieerd. Onze producten en diensten werken normaal.

Als reactie op dit incident hebben we maatregelen genomen om de schade te beperken en risico’s af te schermen. Daarnaast hebben we een toonaangevende firma op het gebied van forensische cyberbeveiliging ingeschakeld. Ons onderzoek loopt nog, maar we hebben het lek gedicht en extra versterkte beveiligingsmaatregelen ingevoerd. We zien geen verder bewijs van ongeoorloofde activiteiten meer.

Op basis van deze maatregelen en wat we hiervan hebben geleerd, beoordelen we verdere technieken om risico’s tegen te gaan en onze omgeving te versterken. Hieronder hebben we een korte lijst opgesteld met de vragen die u wellicht heeft, en gaan we in op mogelijke zorgen. Als er verdere ontwikkelingen zijn, houden we u hiervan natuurlijk op de hoogte.

Hartelijk dank voor uw geduld, begrip en ononderbroken steun.

Karim Toubba

CEO van LastPass

 

Vragen over dit incident

1. Is mijn hoofdwachtwoord in gevaar, of bestaat er een risico voor de wachtwoorden van mijn gebruikers?

Nee, uw hoofdwachtwoord is bij dit incident niet in gevaar geweest. We kennen uw hoofdwachtwoord niet en kunnen het daarom ook niet opslaan. We gebruiken een systeemarchitectuur op basis van “zero knowledge”, die ervoor zorgt dat LastPass nooit kennis heeft van de hoofdwachtwoorden van onze gebruikers. HIER kunt u meer lezen over de technische implementatie van dit beveiligingsmodel.

2. Zijn er gegevens in mijn kluis of in de kluizen van mijn gebruikers in gevaar geweest?

Nee. Dit incident is beperkt gebleven tot onze aparte omgeving voor softwareontwikkeling. Uit ons onderzoek is niet gebleken dat onbevoegden toegang hebben gekregen tot versleutelde gegevens in een kluis. Ons beveiligingsmodel op basis van “zero knowledge ” zorgt ervoor dat alleen onze klanten toegang kunnen krijgen tot ontsleutelde gegevens in hun kluis.

3. Is er een risico voor persoonlijke gegevens die zijn opgeslagen in LastPass?

Nee. Uit ons onderzoek is niet gebleken dat onbevoegden toegang hebben gekregen tot gegevens van klanten in onze productieomgeving.

4. Wat moet ik doen om mezelf en de gegevens in mijn kluis te beschermen?

Op dit moment hoeven onze gebruikers en LastPass-beheerders niets te doen. Zoals altijd bevelen we aan dat u onze best practices volgt voor de instelling en configuratie van uw LastPass-account. U vindt een overzicht van deze bewezen praktijken op https://blog.lastpass.com/2022/01/how-to-set-up-your-new-lastpass-account/

5. Waar vind ik meer informatie?

We blijven u op de hoogte houden van eventuele verdere ontwikkelingen.

 

Bron: https://blog.lastpass.com/nl/2022/08/melding-van-een-recent-beveiligingsincident/