image

Versleutelde wachtwoorden LastPass-gebruikers gestolen uit cloudomgeving

vrijdag 23 december 2022, 10:24 door Redactie, 25 reacties

Een aanvaller is erin geslaagd om versleutelde wachtwoorden van gebruikers van wachtwoordmanager LastPass te stelen, zo heeft het bedrijf bekendgemaakt. Ook andere klantgegevens zijn door de aanvaller gestolen. In augustus werd bekend dat de broncode en technische informatie uit de ontwikkelomgeving van LastPass bij een aanval was buitgemaakt. De aanvaller gebruikte deze informatie voor een aanval op een LastPass-medewerker, waarbij inloggegevens en keys werden verkregen waarmee kon worden ingelogd op een cloudomgeving waar LastPass back-ups van productiedata bewaart. Het gaat hier niet om de eigen cloudomgeving van LastPass, maar een niet nader genoemde derde partij.

De back-upgegevens waren versleuteld, maar de aanvaller had ook de decryptiesleutels bemachtigd en kon de data zo ontsleutelen. Het gaat om namen, factuuradres, e-mailadres, telefoonnummers en ip-adressen van gebruikers. Daarnaast wist de aanvaller een back-up met kluisdata van klanten te stelen. LastPass biedt een wachtwoordmanager die gebruikers wachtwoorden in een "wachtwoordkluis" in de cloud laat opslaan. Zo kreeg de aanvaller versleutelde gebruikersnamen, wachtwoorden en notities in handen.

Volgens LastPass kan de aanvaller nu proberen om het master password van gebruikers via een bruteforce-aanval te achterhalen, om zo de gestolen versleutelde kluisdata te ontsleutelen. Daarnaast bestaat het risico dat de aanvaller social engineering- of phishingaanvallen op gebruikers zal uitvoeren. Afhankelijk van de sterkte van het master password en of die op andere websites is hergebruikt, adviseert LastPass gebruikers om al hun in de wachtwoordmanager opgeslagen wachtwoorden te wijzigen.

Reacties (25)
23-12-2022, 10:36 door Anoniem

De back-upgegevens waren versleuteld, maar de aanvaller had ook de decryptiesleutels bemachtigd en kon de data zo ontsleutelen. Het gaat om namen, factuuradres, e-mailadres, telefoonnummers en ip-adressen van gebruikers. Daarnaast wist de aanvaller een back-up met kluisdata van klanten te stelen. LastPass biedt een wachtwoordmanager die gebruikers wachtwoorden in een "wachtwoordkluis" in de cloud laat opslaan. Zo kreeg de aanvaller versleutelde gebruikersnamen, wachtwoorden en notities in handen.

Ja, de cloud...
Ik blijf het maar vreemd vinden om je wachtwoorden op iemand anders zijn computer op te slaan.
23-12-2022, 10:47 door Anoniem
Tsja... Cloud opslag is zooooo veilig. Want we hebben een contract...
23-12-2022, 11:05 door Anoniem
Wat me een beetje op valt van de databreaches van de laatste tijd is dat er op het moment van zo'n breach altijd met de vinger naar de gebruiker gewezen wordt. In de trend van, "wij zijn onzorgvuldig met jouw data omgegaan dus moet JIJ oplettend zijn". Iets wat niet helemaal in het verhaal van password managers valt, maar ook op valt, is toch die data collectie drift. Waarom heeft iemand je telefoonnummer of geboortedatum (terwijl dit wettelijk al lang niet meer mag) nodig ?

Wat ik bedrijven aan zou willen raden is om _alleen_ het hoogst nodige te vragen en op te houden met data verzamelen als je toch al niet kan garanderen dat het veilig gesteld kan worden. Ook is 2FA erg belangrijk.

Voor de mensen die nu hun passwords mogen veranderen, zet 2FA meteen ook aan...
23-12-2022, 11:30 door Anoniem
Een wachtwoordmanager,zo makkelijk...
23-12-2022, 11:42 door bollie - Bijgewerkt: 23-12-2022, 11:43
Heb al jaren mijn wachtwoorden zwaar versleuteld (VeraCrypt) lokaal op mijn harde schijf staan.
Uiteraard zorg ik voor goede backups die (uiteraard) ook zwaar versleuteld zijn.

De laatste tijd word ik alleen maar verheugder dat ik de goede keuze heb gemaakt
met deze eindeloze reeks incidenten van inbreuk in cloud omgevingen.
23-12-2022, 12:27 door Anoniem
Voor iedereen die wachtwoorden opslaat bij een ander. Ik heb nog een veel betere dienst. Bewaar je autoregistratie / eigendomsbewijs bij mij.
23-12-2022, 12:50 door Anoniem
Door bollie: Heb al jaren mijn wachtwoorden zwaar versleuteld (VeraCrypt) lokaal op mijn harde schijf staan.
Uiteraard zorg ik voor goede backups die (uiteraard) ook zwaar versleuteld zijn.

De laatste tijd word ik alleen maar verheugder dat ik de goede keuze heb gemaakt
met deze eindeloze reeks incidenten van inbreuk in cloud omgevingen.

Het nadeel is dat gegevens zwaar versleuteld hebben op je lokale harde schijf niet echt gebruiksvriendelijk is. Ik heb namelijk vooral mobiel mijn wachtwoorden nodig, en mijn kinderen hebben ze soms ook nodig (Netlfix etc.). Helaas gebruik ik op dit moment Lastpass maar ik ben er dus nog niet uit wat de vervanger dan zou moeten zijn. Natuurlijk kun je 'shields up' gaan en je eigen Fort Knox bouwen, wat natuurlijk super veilig is, maar voor mij dus geen oplossing. Dat is de eeuwige balans tussen veilig en werkbaar.

Iemand advies?
23-12-2022, 13:38 door Anoniem
Door bollie: Heb al jaren mijn wachtwoorden zwaar versleuteld (VeraCrypt) lokaal op mijn harde schijf staan.
Uiteraard zorg ik voor goede backups die (uiteraard) ook zwaar versleuteld zijn.

Log je maar vanaf één device in op allerlei sites?
23-12-2022, 14:37 door Anoniem
Ze zijn nog steeds versleuteld die wachtwoorden. Zonder het master password komen ze daar niet in.
23-12-2022, 14:47 door Ouddorp
Door Anoniem:
Door bollie: Heb al jaren mijn wachtwoorden zwaar versleuteld (VeraCrypt) lokaal op mijn harde schijf staan.
Uiteraard zorg ik voor goede backups die (uiteraard) ook zwaar versleuteld zijn.

De laatste tijd word ik alleen maar verheugder dat ik de goede keuze heb gemaakt
met deze eindeloze reeks incidenten van inbreuk in cloud omgevingen.

Het nadeel is dat gegevens zwaar versleuteld hebben op je lokale harde schijf niet echt gebruiksvriendelijk is. Ik heb namelijk vooral mobiel mijn wachtwoorden nodig, en mijn kinderen hebben ze soms ook nodig (Netlfix etc.). Helaas gebruik ik op dit moment Lastpass maar ik ben er dus nog niet uit wat de vervanger dan zou moeten zijn. Natuurlijk kun je 'shields up' gaan en je eigen Fort Knox bouwen, wat natuurlijk super veilig is, maar voor mij dus geen oplossing. Dat is de eeuwige balans tussen veilig en werkbaar.

Iemand advies?

Keepass gebruiken. De database in b.v. google drive, de key file lokaal op je apparaten waar je het nodig hebt, er is ook een mobiele app. https://tweakers.net/reviews/8726/6/vijf-wachtwoordmanagers-onder-de-loep-waarin-verschillen-ze-keepass.html
23-12-2022, 15:37 door Anoniem
Door Anoniem: Ze zijn nog steeds versleuteld die wachtwoorden. Zonder het master password komen ze daar niet in.
Kom d'r maar in met je eisen aan je master password, en waarom het master password wat veel mensen gekozen
hebben aan de hand van allerlei adviezen voor passwords nu achteraf toch dom gekozen was.
23-12-2022, 15:56 door Anoniem
Door Anoniem:
Door Anoniem: Ze zijn nog steeds versleuteld die wachtwoorden. Zonder het master password komen ze daar niet in.
Kom d'r maar in met je eisen aan je master password, en waarom het master password wat veel mensen gekozen
hebben aan de hand van allerlei adviezen voor passwords nu achteraf toch dom gekozen was.
\
Bij deze Lastpass vereist een master wachtwoord van tenminste 12 karakters.
23-12-2022, 16:09 door FabianD
Door Anoniem:
Door bollie: Heb al jaren mijn wachtwoorden zwaar versleuteld (VeraCrypt) lokaal op mijn harde schijf staan.
Uiteraard zorg ik voor goede backups die (uiteraard) ook zwaar versleuteld zijn.

De laatste tijd word ik alleen maar verheugder dat ik de goede keuze heb gemaakt
met deze eindeloze reeks incidenten van inbreuk in cloud omgevingen.

Het nadeel is dat gegevens zwaar versleuteld hebben op je lokale harde schijf niet echt gebruiksvriendelijk is. Ik heb namelijk vooral mobiel mijn wachtwoorden nodig, en mijn kinderen hebben ze soms ook nodig (Netlfix etc.). Helaas gebruik ik op dit moment Lastpass maar ik ben er dus nog niet uit wat de vervanger dan zou moeten zijn. Natuurlijk kun je 'shields up' gaan en je eigen Fort Knox bouwen, wat natuurlijk super veilig is, maar voor mij dus geen oplossing. Dat is de eeuwige balans tussen veilig en werkbaar.

Iemand advies?

Dit is dus wel het grote probleem van alle reguliere cloud wachtwoordkluizen. Ik ben ook een voormalig gebruiker van LastPass, maar heb onlangs de overstap gemaakt naar MindYourPass. Dat is een Nederlandse wachtwoordoplossing die geen wachtwoorden opslaat maar je wachtwoorden via een complexe formule telkens opnieuw genereert voor je accounts.
Voordeel is dat deze oplossing zakelijk zelfs afgedwongen kan worden en je de strictheid van de wachtwoorden in je organisatie geforceerd kan inregelen.
Bijkomend voordeel is dat deze wachtwoordoplossing gratis is en blijft voor privégebruik.
23-12-2022, 18:43 door Anoniem
Door bollie: Heb al jaren mijn wachtwoorden zwaar versleuteld (VeraCrypt) lokaal op mijn harde schijf staan.
Uiteraard zorg ik voor goede backups die (uiteraard) ook zwaar versleuteld zijn.
Toch niet met een backupje daarvan en van de decryptiesleutel in 'the cloud' bewaard hè?
23-12-2022, 18:52 door Anoniem
Juist, anoniem van 11:05. Dat is tegenwoordig met alles zo.
De steevaste reactie ter verdediging van opdrijvers van prijs en onveiligheid luidt:
"Het is toch mijn schuld niet, dat ....".
Zo rijzen de prijzen de pan uit, want "toch niet mijn schuld'.

Zo vliegt inflatie omhoog, aangezwengeld door looneisen etc. Zo is overal verborgen tracking, surveillance, controle.
Dat barst zo allemaal uit z'n voegen.

De infrastructuur moet kennelijk eerst aan barrels en dan komt de digi-hel op aarde.
Maar zeer profijtelijk voor de giga-investeerder. Blackrock wrijft zich al in de handjes, evenals Vanguard.

Zo worden onze persoonlijke onvervreemdbare vrijgheden tot nu verkwanseld en versjacherd, met als excuus:
"Het is onze schuld niet". Waar geld telt, verdwijnt het geweten.

En degenen, die de discussie iets zouden kunnen doen bedaren in het boe versus bah gebeuren, acteren niet.
Zo gaat het met data breaches en cybercriminaliteit net als met alles dat voortdurend uit de hand gaat lopen.

Gaat nog leuk worden. Goed in elk geval, dat jij al voelt waar de schoen wringt.
23-12-2022, 21:53 door Anoniem
Door Anoniem:
Door bollie: Heb al jaren mijn wachtwoorden zwaar versleuteld (VeraCrypt) lokaal op mijn harde schijf staan.
Uiteraard zorg ik voor goede backups die (uiteraard) ook zwaar versleuteld zijn.

De laatste tijd word ik alleen maar verheugder dat ik de goede keuze heb gemaakt
met deze eindeloze reeks incidenten van inbreuk in cloud omgevingen.

Het nadeel is dat gegevens zwaar versleuteld hebben op je lokale harde schijf niet echt gebruiksvriendelijk is. Ik heb namelijk vooral mobiel mijn wachtwoorden nodig, en mijn kinderen hebben ze soms ook nodig (Netlfix etc.). Helaas gebruik ik op dit moment Lastpass maar ik ben er dus nog niet uit wat de vervanger dan zou moeten zijn. Natuurlijk kun je 'shields up' gaan en je eigen Fort Knox bouwen, wat natuurlijk super veilig is, maar voor mij dus geen oplossing. Dat is de eeuwige balans tussen veilig en werkbaar.

Iemand advies?

KeepAss(XC) en varianten voor Windows, macOS, Linux, Android en iOS en iPadOS.
Allemaal compatible met elkaar, mijn telefoon is de master en ik sync regelmatig andere devices met mijn telefoon.
23-12-2022, 21:54 door Anoniem
Door Anoniem:
Door bollie: Heb al jaren mijn wachtwoorden zwaar versleuteld (VeraCrypt) lokaal op mijn harde schijf staan.
Uiteraard zorg ik voor goede backups die (uiteraard) ook zwaar versleuteld zijn.
Toch niet met een backupje daarvan en van de decryptiesleutel in 'the cloud' bewaard hè?

Nee op een zwaar versleutelde HDD ... oh wacht ..... ;-)
23-12-2022, 22:34 door Anoniem
Door bollie: Heb al jaren mijn wachtwoorden zwaar versleuteld (VeraCrypt) lokaal op mijn harde schijf staan.
Uiteraard zorg ik voor goede backups die (uiteraard) ook zwaar versleuteld zijn.

De laatste tijd word ik alleen maar verheugder dat ik de goede keuze heb gemaakt
met deze eindeloze reeks incidenten van inbreuk in cloud omgevingen.
Hier hetzelfde. Ik geef NOOIT, maar dan ook NOOIT een derde partij het vertrouwen om mijn wachtwoorden te beheren of op te slaan. Ik beheer het wel lekker zelf. En lokaal uiteraard. Daarmee ben je ook niet 100% veilig, maar nog altijd veiliger dan dat het ergens online staat.

Houd je belangrijkste data gewoon bij je. Een wachtwoordbeheerder is niks mis mee, zolang je die lokaal je wachtwoorden laat beheren. Hier KeepassXC en VeraCrypt. Die combi maakt je wachtwoorden een stuk lastiger te bereiken door derden.
24-12-2022, 01:54 door Anoniem
Door Anoniem:
Door bollie: Heb al jaren mijn wachtwoorden zwaar versleuteld (VeraCrypt) lokaal op mijn harde schijf staan.
Uiteraard zorg ik voor goede backups die (uiteraard) ook zwaar versleuteld zijn.

De laatste tijd word ik alleen maar verheugder dat ik de goede keuze heb gemaakt
met deze eindeloze reeks incidenten van inbreuk in cloud omgevingen.

Het nadeel is dat gegevens zwaar versleuteld hebben op je lokale harde schijf niet echt gebruiksvriendelijk is. Ik heb namelijk vooral mobiel mijn wachtwoorden nodig, en mijn kinderen hebben ze soms ook nodig (Netlfix etc.). Helaas gebruik ik op dit moment Lastpass maar ik ben er dus nog niet uit wat de vervanger dan zou moeten zijn. Natuurlijk kun je 'shields up' gaan en je eigen Fort Knox bouwen, wat natuurlijk super veilig is, maar voor mij dus geen oplossing. Dat is de eeuwige balans tussen veilig en werkbaar.

Iemand advies?
Je kunt Bitwarden overwegen. Naast de service om de wachtwoorden in hun cloud op te slaan, kun je deze opslag ook zelf hosten op je eigen server. Beschikbaar maken via een VPN zoals wireguard/tailscale/.. en dan bruikbaar op alle devices die je toegang geeft. Goeie feature van bitwarden is dat je een organisatie kunt maken (pa, ma, kinderen bijvoorbeeld) en wachtwoorden selectief met elkaar kunt delen.
24-12-2022, 09:17 door linuxpro
Tot zo ver Lastpass, de overname door die twijfelachtige LogMeIn en het na 5 jaar weer zelfstandig worden heeft ze duidelijk geen goed gedaan. Mijn vertrouwen was na die overname al weg en ben overgestapt naar Passman en mijn eigen Nextcloud omgeving.
24-12-2022, 10:15 door Anoniem
Door Anoniem:
Door bollie: Heb al jaren mijn wachtwoorden zwaar versleuteld (VeraCrypt) lokaal op mijn harde schijf staan.
Uiteraard zorg ik voor goede backups die (uiteraard) ook zwaar versleuteld zijn.

De laatste tijd word ik alleen maar verheugder dat ik de goede keuze heb gemaakt
met deze eindeloze reeks incidenten van inbreuk in cloud omgevingen.

Het nadeel is dat gegevens zwaar versleuteld hebben op je lokale harde schijf niet echt gebruiksvriendelijk is. Ik heb namelijk vooral mobiel mijn wachtwoorden nodig, en mijn kinderen hebben ze soms ook nodig (Netlfix etc.). Helaas gebruik ik op dit moment Lastpass maar ik ben er dus nog niet uit wat de vervanger dan zou moeten zijn. Natuurlijk kun je 'shields up' gaan en je eigen Fort Knox bouwen, wat natuurlijk super veilig is, maar voor mij dus geen oplossing. Dat is de eeuwige balans tussen veilig en werkbaar.

Iemand advies?

Sticky Password, relatief onbekend, maar vind 'm zeer goed. alles kan op je eigen sytemen opgeslagen worden, Synchroniseerd ook goed,.Verder is een lifetime premium versie te krijgen voor "Slechts € 29,99 "
24-12-2022, 15:21 door Anoniem
Leuk dat het versleuteld is met een master password.
Maar lastpass biedt ook SSO, waarbij je helemaal geen masterpassword hebt. Hoe werkt dat?
24-12-2022, 23:32 door Anoniem
Wat een onzin alu-hoedjes gelul hier zeg.
De encryptie van jouw LastPass vault is best wel dik in orde, die wordt echt niet zo 1-2-3 gekraakt de komende 5 jaar.
Als je bovenop je master password ook nog gebruik hebt gemaakt van een hardware key, Yubikey bijvoorbeeld, dan hoef je je echt geen zorgen te maken.
Als je zo dom bent om enkel een simpel wachtwoord te gebruiken als je master password, dan is dit wellicht een lesje die je blijkbaar hard nodig hebt.
Natuurlijk is het jouw verantwoordelijkheid om je wachtwoorden zo veilig mogelijk op te slaan, als je geen gebruik maakt van zoveel mogelijk complexiteit doe je echt iets fout.
En denk even na, hoeveel kluizen hebben ze te kraken? Hoe groot acht je de kans dat ze net de jouwe aan het bruteforcen zijn? En hoe groot denk je dat de kans is dat ze die kraken?
25-12-2022, 19:56 door Anoniem
Door Anoniem: Wat een onzin alu-hoedjes gelul hier zeg.
De encryptie van jouw LastPass vault is best wel dik in orde, die wordt echt niet zo 1-2-3 gekraakt de komende 5 jaar.
Als je bovenop je master password ook nog gebruik hebt gemaakt van een hardware key, Yubikey bijvoorbeeld, dan hoef je je echt geen zorgen te maken.
Als je zo dom bent om enkel een simpel wachtwoord te gebruiken als je master password, dan is dit wellicht een lesje die je blijkbaar hard nodig hebt.
Natuurlijk is het jouw verantwoordelijkheid om je wachtwoorden zo veilig mogelijk op te slaan, als je geen gebruik maakt van zoveel mogelijk complexiteit doe je echt iets fout.
En denk even na, hoeveel kluizen hebben ze te kraken? Hoe groot acht je de kans dat ze net de jouwe aan het bruteforcen zijn? En hoe groot denk je dat de kans is dat ze die kraken?

Dit dus.
--

Als je goede wachtwoord hygiene hebt, roteer je ook je wachtwoorden in je vault.. tegen de tijd dat ze je kluis dan eidenlijk een keer gekraakt hebben over 100 jaar, heb jij al slim je wachtwoordjes veranderd
29-12-2022, 20:40 door Anoniem
Door Anoniem: Iemand advies?
Het is al een paar keer gezegd maar ik sluit me erbij aan: KeePass, KeePassX, KeePassXC.

De programma's zijn afgeleid van elkaar (KeePass is een dotNet-applicatie, de andere twee niet) en delen het databaseformaat. De database sla je lokaal op je eigen computer op, en je kan zelf met cloud storage of synchronisatiesoftware regelen dat je hem deelt tussen apparaten. Het master password ontsleutelt de database en dat ontsleutelen gebeurt altijd lokaal op je eigen systeem.

De grote techbedrijven hebben kennelijk heel goed voor elkaar gekregen dat massa's mensen als vanzelfsprekend aannemen dat software per definitie cloudgebaseerd moet zijn. Kul. Je eigen bescheiden computertje, ook je smartphone, is krachtig zat om zelf software te draaien. Neem de regie terug in eigen hand en stop met automatisch voor cloudoplossingen te kiezen. Je kan voor de cloud kiezen als het werkelijk een betere oplossing is, maar wees je bewust van het feit dat je zelf een capabele computer (alweer: ook je smartphone) hebt en dat het helemaal niet vanzelf spreekt dat de verwerking of de opslag door een ander wordt gedaan.

Ik ben bang dat die manier van werken voor een belangrijk deel is ingegeven door winstbejag: men kan aan je verdienen als men je data heeft, zelfs als die versleuteld is en men er inhoudelijk niet bij kan creëert het een afhankelijkheid van jou aan hun. Als daar een substantieel voordeel voor jou tegenover staat kan dat een goede deal zijn, maar het is niet automatisch een goede deal: als je niet eens meer op het idee komt dat er ook andere mogelijkheden bestaan komt het erop neer dat je jezelf overlevert aan de wolven.

Dat oude model, van pakweg vijftien jaar en langer geleden, dat je software op je eigen computer draaide en data op je eigen computer opsloeg, dat was helemaal zo gek nog niet. Ik ben dat als de vanzelfsprekende optie blijven beschouwen: het staat en draait op mijn eigen systeem tenzij er een goede reden is om het anders te doen. Als je dat als uitgangspunt neemt kom je niet zo snel op LastPass en dergelijke uit, dan zijn progamma's als Keepass[X[C]] duidelijk een betere keuze.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.