Na een datalek dat enkele maanden geleden plaatsvond, onthult wachtwoordbeheerder LastPass dat de hacker mogelijk toegang heeft gehad tot enkele gevoelige klantgegevens. Er moeten dus enkele voorzorgsmaatregelen worden genomen, voor mensen die “zaadzinnen” van cryptocurrency-portefeuilles zouden hebben opgeslagen via deze dienst.
LastPass wachtwoordbeheerder gehackt
Op donderdag meldden LastPass password manager teams dat een hacker toegang had gekregen tot gevoelige gegevens die waren gecompromitteerd in een lek op 25 augustus:
“Op basis van ons onderzoek tot nu toe hebben we geleerd dat een onbekende kwaadwillende actor toegang heeft gekregen tot een cloud-gebaseerde opslagomgeving door gebruik te maken van informatie die is verkregen bij het incident dat we eerder in augustus 2022 bekend hebben gemaakt.”
Een wachtwoordmanager maakt het, zoals de naam al zegt, mogelijk om al je wachtwoorden op te slaan en gemakkelijk nieuwe, zeer veilige wachtwoorden te genereren. De database van LastPass, die gehackt werd, bevat de persoonlijke gegevens van klanten die in hun kluis zijn opgeslagen. Aangezien de kluis allerlei gegevens kan bevatten, zoals identiteitsdocumenten of privésleutels van cryptocurrency-portefeuilles, kunnen deze gegevens nu uitlekken.
Omdat de kluizen beveiligd zijn met wachtwoorden die niet door LastPass worden opgeslagen, zegt het bedrijf dat de gegevens die ze bevatten nog steeds zogenaamd veilig zijn, zolang het wachtwoord niet wordt gevonden.
Een belegger is echter van mening dat LastPass de volledige omvang van de situatie niet bekend zou maken, aangezien vier van zijn secundaire wallets, waarvan hij de seed phrase op de app had opgeslagen, zijn leeggemaakt:
Ik denk dat de situatie bij @LastPass erger is dan ze laten merken.
Op zondag de 18e werden vier van mijn portemonnees gecompromitteerd. De verliezen zijn niet groot.
Hun zaden werden bewaard, versleuteld, in mijn lastpass kluis, achter een 16-karakter wachtwoord met gebruik van alle karaktersoorten.
– path.eth 🛡️ (@Cryptopathic) December 23, 2022
Hoewel het slachtoffer verzekert dat de verliezen niet groot zijn, houdt hij vol dat het wachtwoord van zijn kluis nergens anders werd gebruikt en dat de complexiteit ervan een “brute force attack” uitsluit.
Wat te doen als je LastPass gebruikt
Gezien de gevoelige gegevens die achter al deze wachtwoorden verborgen kunnen zitten, moet u de openbare communicatie van LastPass niet alleen vertrouwen.
Als u seed phrases van cryptowallets op deze dienst zou opslaan, zou het verstandig zijn om al deze fondsen uit voorzorg naar een ander privésleuteladres over te brengen.
Het wijzigen van het hoofdwachtwoord voor toegang tot de kluis zal niet volstaan, aangezien het huidige wachtwoord hetzelfde zou blijven op de gestolen database, en de hacker(s) nog steeds toegang zouden kunnen krijgen tot de daarin opgeslagen informatie.
Het zou dus verstandig zijn om uw wachtwoordbeheerder te veranderen, maar vooral om alle wachtwoorden van al uw accounts die als “gevoelig” worden beschouwd opnieuw in te stellen. Voor tweefactorauthenticaties (2FA) die op de applicatie worden gehost, moeten ze ook opnieuw worden ingesteld om een andere dienst te gebruiken.
Hoewel dit datalek veel ernstiger is dan LastPass beweert, moet er ook rekening mee worden gehouden dat eventuele creditcards of identiteitsdocumenten die in deze kluizen waren opgeslagen ook gevaar kunnen lopen.