image

LastPass in VS aangeklaagd wegens diefstal van gevoelige klantgegevens

donderdag 5 januari 2023, 13:38 door Redactie, 7 reacties

Wachtwoordmanager LastPass is in de Verenigde Staten aangeklaagd wegens de diefstal van gevoelige klantgegevens, waaronder versleutelde wachtwoorden, uit een cloudomgeving waar het bedrijf gebruik van maakte. Volgens de aanklacht heeft LastPass de digitale beveiliging genegeerd waardoor het datalek mogelijk was. Het gaat om een "class action" rechtszaak waar andere LastPass-gebruikers zich bij kunnen aansluiten.

In augustus werd bekend dat de broncode en technische informatie uit de ontwikkelomgeving van LastPass bij een aanval was buitgemaakt. De aanvaller gebruikte deze informatie voor een aanval op een LastPass-medewerker, waarbij inloggegevens en keys werden verkregen waarmee kon worden ingelogd op een cloudomgeving waar LastPass back-ups van productiedata bewaart. Het gaat hier niet om de eigen cloudomgeving van LastPass, maar een niet nader genoemde derde partij.

De back-upgegevens waren versleuteld, maar de aanvaller had ook de decryptiesleutels bemachtigd en kon de data zo ontsleutelen. Het gaat om namen, factuuradres, e-mailadres, telefoonnummers en ip-adressen van gebruikers. Daarnaast wist de aanvaller een back-up met kluisdata van klanten te stelen. LastPass biedt een wachtwoordmanager die gebruikers wachtwoorden in een "wachtwoordkluis" in de cloud laat opslaan. Zo kreeg de aanvaller versleutelde gebruikersnamen, wachtwoorden en notities in handen.

De klager in deze zaak stelt dat hij LastPass sinds 2016 gebruikt en regelmatig zijn wachtwoorden wijzigde. Na het datalek werden echter zijn bitcoins gestolen via de private keys die hij in de LastPass-wachtwoordmanager had opgeslagen. "Hoewel de exacte oorzaak(en) van het datalek onduidelijk blijft, is er geen twijfel dat de gedaagde de privégegevens van de klager niet adequaat heeft beschermd en niet de tools heeft gebruikt om dergelijke privégegevens te beschermen", aldus de aanklacht. De klager wil onder andere een vergoeding van de geleden schade.

Image

Reacties (7)
05-01-2023, 13:54 door Anoniem
De keys zouden met AES versleuteld moeten zijn en de key zou niet in de server-omgeving aanwezig horen te zijn.
Waarschijnlijk BS. Hij heeft de coins zelf overgezet naar een andere wallet.
05-01-2023, 14:51 door Anoniem
Is gewoon een nieuwe variant van "cyber extortion" met dit keer LP als slachtoffer.
05-01-2023, 17:04 door Anoniem
vreemd verhaal inderdaad. notes bij een account moeten versleuteld zijn.

het zou overigens ook de eerste bekende (in ieder geval aan mij bekende) offline ontsleuteling door de hackers betreffen van de buitgemaakte kluizen. hoe weet de klager zo zeker dat eea via de breach van lastpass gelopen zou zijn?
06-01-2023, 12:09 door Anoniem
Goedzo, moet je maar eerst nadenken voordat je zo'n dienst in het leven roept, en moet je maar een goed development team regelen.
06-01-2023, 13:48 door Anoniem
Dit is absoluut een geval van opzettelijk gebrekkige communicatie langs de kant van LastPass naar haar klanten, puur met de bedoeling om hun in te dekken. Het hele concept van LastPass is dat ze een kluis aanbieden waar je gevoelige gegevens in kunt bewaren, maar uit hun recente communicatie blijkt dit niet het geval te zijn:

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/#:~:text=Your%20sensitive%20vault%20data%2C%20such%20as%20usernames%20and%20passwords%2C%20secure%20notes%2C%20attachments%2C%20and%20form%2Dfill%20fields%2C%20remain%20safely%20encrypted%20based%20on%20LastPass%E2%80%99%20Zero%20Knowledge%20architecture.

Hier maken ze een oplijsting van de soorten gegevens die geëncrypteerd worden opgeslagen: gebruikersnamen, wachtwoorden, beveiligde notities en form-fill fields. Ontbreken in deze lijst: gewone notities en URLs van de entries.
Als ik als LastPass gebruiker iets toevoeg aan mijn kluis verwacht ik dat deze gegevens op een beveiligde manier worden opgeslagen. Dat lijkt me niet onredelijk, toch? Maar als ik mijn 2FA recovery codes had opgeslagen als notitie ipv VEILIGE notitie kan ik blijkbaar genieten van 0 bescherming.

De taak van een password manager is een extreem high-trust activiteit en LastPass beschaamt hier het vertrouwen van haar gebruikers door opzettelijk onduidelijk te communiceren en zich te verstoppen achter lawyer speak. Wat mij betreft hebben ze absoluut afgedaan en zijn ze enige vertrouwenspositie die ze hadden opgebouwd onwaardig.

Even voor de duidelijkheid: ik heb niets tegen het cloud aspect van LastPass, maar puur over de implementatie van haar systeem.
07-01-2023, 08:21 door Anoniem
As one security researcher put it, “[T]he only thing preventing the threat actors from decrypting your data is your master password. If they are able to guess it, the game is over.”
09-01-2023, 00:07 door Anoniem
Ben overgestapt naar bitwarden, mijn lastpass kluis is leeg (helaas die van na de breach haha). Ben nu al mijn wachtwoorden aan het omzetten. Wat een ontzettend stomme rotklus zeg.

Het enige voordeel dat het oplevert is dat je een aantal van die accounts uit je kluis kunt verwijderen omdat ze niet meer bestaan, je er niet meer geregistreerd staat of er een heel duidelijke ‘remove account’ functie is en dat dus een prima manier is om je gegevens te beschermen.

Het valt me op hoe weinig sites 2fa als mogelijkheid aanbieden, terwijl juist sommige het hebben (klusidee bijvoorbeeld) waar ik het niet verwacht. Dit zou echt anders moeten zijn in mijn ogen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.