image

LastPass gaat na zestien jaar url's in wachtwoordkluizen versleutelen

donderdag 23 mei 2024, 12:25 door Redactie, 5 reacties

Wachtwoordmanager LastPass heeft besloten om na zestien jaar url's in wachtwoordkluizen te versleutelen. Experts hebben al jaren kritiek op het feit dat dit niet gebeurt. In 2022 wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer van LastPass op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat.

Onder de gestolen kluisdata bevonden zich ook onversleutelde url's. Wanneer LastPass-gebruikers een website bezoeken kijkt de wachtwoordmanager of de bezochte url in de kluis bekend is, zodat opgeslagen inloggegevens kunnen worden ingevuld. Na de inbraak erkende LastPass dat url's niet versleuteld werd opgeslagen en suggereerde daarbij dat dit het hier niet om gevoelige gegevens ging.

"Maar website url's zijn wel zeer gevoelige data. Aanvallers willen dolgraag weten waar je toegang toe hebt. Dan kunnen ze gerichte phishingmails maken voor de personen die hun moeite waard zijn", aldus beveiligingsonderzoeker Wladimir Palant eind 2022. Hij voegde toe dat sommige door LastPass opgeslagen url's parameters bevatten die gevoelig kunnen zijn. Tevens merkte Palant op dat LastPass in 2015 (pdf), 2017 en 2018 was gewaarschuwd dat het niet versleutelen van url's een slecht idee was.

LastPass geeft als reden dat het in 2008 is ontwikkeld en ontsleuteling toen veel meer rekenkracht kostte. Voor betere prestaties en gebruikerservaring is toen besloten de url's niet te versleutelen, aldus de verklaring van het bedrijf. Nu stelt LastPass dat het wel belangrijk is om url's te versleutelen, omdat die informatie over het account in kwestie bevatten.

De versleuteloperatie gaat gefaseerd plaatsvinden. De eerste fase zou in juni gereed moeten zijn, waarbij de uitrol in juli begint. Gebruikers ontvangen dan een e-mail met informatie over wat te verwachten en zal er begonnen worden met het versleutelen van primaire url-velden van in de kluis opgeslagen accounts. De overige url-velden zullen eind dit jaar worden versleuteld.

Reacties (5)
23-05-2024, 12:38 door Anoniem
Too little, too late!
Het verbaast me dat deze partij nog bestaat.
23-05-2024, 18:51 door Anoniem
Door Anoniem: Too little, too late!
Het verbaast me dat deze partij nog bestaat.
Mee eens, ze hebben een gigantische lijst van lekken opgebouwd door hun geschiedenis heen.
24-05-2024, 06:37 door Anoniem
Alle marketable data hebben ze onbeveiligd opgeslagen, en ze hebben ook niet goed gehandeld op die datalekken. Vergis je niet : alle binaire data, en deels onversleutelde data, is gestolen! Ze hebben na de grote diefstal gedaan alsof er niets aan de hand was, gewoon doodgezwegen! En daarna een gigantisch charmeoffensief op social media uitgevoerd. Het is echt een heel incompetent bedrijf.
24-05-2024, 09:47 door musiman
Lastpass is wel de laatste password manager die ik zou gebruiken. Wat dat betreft wel een toepasselijke naam. ;)

Zelf gebruik ik een password manager met enkel lokaal opgeslagen data.
25-05-2024, 18:33 door Anoniem
Door musiman: Lastpass is wel de laatste password manager die ik zou gebruiken. Wat dat betreft wel een toepasselijke naam. ;)

Zelf gebruik ik een password manager met enkel lokaal opgeslagen data.

Precies, lokaal houden die handel en zelf syncen met systemen die het nodig hebben.

KeepassXC is er voor de meeste OS'en en compatible Apps voldoende voor iOS en Android.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.