LastPass: Aanvaller kon geen klantgegevens inzien

Wachtwoordbeheerder LastPass geeft meer info over de hack waar het in augustus slachtoffer van werd. De dader had vier dagen lang toegang tot de interne keuken van het bedrijf, maar niet tot klantgegevens.

"Er is geen bewijs van gevaarlijke activiteit na die periode. We kunnen ook bevestigen dat er geen bewijs is dat er bij dit incident toegang was tot klantendata of versleutelde wachtwoordkluizen", meldt het bedrijf. LastPass onderzocht de afgelopen weken haar processen en de inbreuk in samenwerking met beveiliger Mandiant. In een nieuwe blogpost legt het bedrijf uit dat de dader toegang kreeg tot de ontwikkelaarsomgeving en daarbij een tweestapsverificatie kon laten goedkeuren.

Behalve dat de aanval via een gecompromitteerd endpoint (vermoedelijk een laptop of telefoon) liep, ontbreken details over de aanval. Wel benadrukt het bedrijf dat die ontwikkelaarsomgeving zowel fysiek als digitaal gescheiden is van de productieomgeving en dat die eerste ook geen echte klantgegevens bevat.

In samenwerking met Data News