LastPass: Toch wachtwoordkluizen uitgelekt bij eerdere cyberaanval

Na een security-incident in augustus is veel meer buitgemaakt dan eerst gedacht, geeft de wachtwoordbeheerder nu toe.

In augustus werd wachtwoordenkluis LastPass gehackt. Onbekenden kregen toen toegang tot een opslagdienst van een derde partij, waar ook productiedata van LastPass zelf gearchiveerd was. Het bedrijf was er toen snel bij om te melden dat er geen klantendata was gelekt.

Phishingaanval

In een nieuwe update over de situatie schrijft Karim Toubba, CEO van LastPass, nu dat er toch klantengegevens en zelfs wachtwoorden van gebruikers zijn buitgemaakt. De aanvallers zouden de initiële productiedata hebben gebruikt om een phishingaanval uit te voeren op een medewerker van het bedrijf, en zo sleutels en toegangstokens hebben gevonden om meer gegevens te stelen.

De aanvallers zouden toegang hebben gekregen tot persoonsgegevens zoals namen, adressen, mailadressen en telefoonnummers. Ook wachtwoordkluizen werden gedownload, al zegt Boutta dat die wel versleuteld zijn en alleen ontsleuteld kunnen worden met het LastPass hoofdwachtwoord. Dat laatste wordt niet door LastPass zelf opgeslagen, en blijft dus volledig in handen van de gebruiker. "Deze versleutelde velden blijven beveiligd met een 256-bit AES encryptie en kunnen alleen ontsleuteld worden met een unieke sleutel afgeleid van het master password van elke gebruiker", aldus Toubba.

Met de eerder gelekte persoonsgegevens is het natuurlijk wel mogelijk dat de aanvallers zullen proberen om bij sommige gebruikers dat hoofdwachtwoord te pakken te krijgen via phishing of andere gerichte aanvallen.

In samenwerking met Data News