Gebruikers van LastPass; let op!

Slecht nieuws voor gebruikers van de wachtwoordmanager LastPass: Zij hebben dit najaar te maken gehad met twee beveiligingsincidenten, waarbij de tweede ertoe heeft geleid dat de hackers ook een kopie hebben kunnen maken van ‘customer vault data’. In deze dataset staat alles wat in de wachtwoordkluis is geregistreerd. Maar hoe erg is dit nu echt? Wat betekent dit voor jou als gebruiker?

Versleuteld en onversleuteld

Als gebruiker heb je misschien al begrepen dat alles wat je veilig opslaat bij LastPass wordt opgeslagen in een versleutelde database, waar zelfs LastPass geen toegang toe zou hebben. Voor de meest belangrijke informatie is dat misschien zo, maar het blijkt dat niet alle informatie versleuteld wordt opgeslagen. Zo zijn de website URLs niet versleuteld, maar (gelukkig) de gebruikersnamen, wachtwoorden, beveiligde notities en formulier-data wel. Een hacker kan dus direct zien van welke websites jij inloggegevens hebt opgeslagen, maar zonder het hoofdwachtwoord kunnen de inloggegevens zelf dus niet ingezien worden.

Wat voorlopig bekend is, is dat de hackers in ieder geval dus de website URLs maar ook klantgegevens zoals je naam, bedrijfsnaam, telefoonnummer, factuuradres, emailadres en je IP-adressen van apparaten waarop je LastPass gebruikt hebben buitgemaakt. Dat alleen al is genoeg om je zorgen over te maken.

Versleutelde informatie nog miljoenen jaren veilig

In het incidentrapport dat LastPass heeft gepubliceerd geven ze aan dat jij als gebruiker op dit moment geen actie hoeft te ondernemen, mits je hun aanbevelingen hebt opgevolgd bij het aanmaken van je hoofdwachtwoord, want het duurt miljoenen jaren voordat de versleuteling gekraakt kan worden. Volgens hen is het hiermee einde verhaal en kan je LastPass veilig blijven gebruiken.

Andere beveiligingsexperts geven aan dat dit misschien niet helemaal waar hoeft te zijn. Jeffrey Goldberg, Principal Security Architect bij concurrent 1Password, schreef in een blogpost dat het kraken van hoofdwachtwoorden bij LastPass helemaal geen miljoenen jaren hoeft te duren. LastPass gaat namelijk uit van een volledig willekeurig wachtwoord van 12 tekens die nergens anders hergebruikt wordt, maar alleen de 12 tekens zijn een vereiste en dat is ook pas sinds 2018 het geval. Het is voor mensen ook moeilijk om volledig willekeurige wachtwoorden te maken (en te onthouden). Het is dus prima mogelijk dat er gebruikers zijn met kortere of simpelere wachtwoorden. Of zelfs gebruikers die een hoofdwachtwoord ook voor andere accounts gebruiken (FOEI!).

Wat moet je doen?

Het is aannemelijk dat de hackers nu al meerdere weken de tijd hebben gehad om met de database aan de gang te gaan. Zolang je inderdaad een complex wachtwoord hebt van minimaal 12 tekens, in combinatie met het feit dat er zo’n 33 miljoen accounts zijn om doorheen te gaan, is de kans redelijk dat je account nog niet is gekraakt. Dat geeft je de tijd om actie te ondernemen:

1. Wees zeer alert op phishing, ook via telefoon. Doordat de hackers je naam en factuuradres hebben, plus je telefoonnummer en de websites waar je inlogt via LastPass, hebben ze veel informatie waarmee ze gericht te werk kunnen gaan.

2. Controleer de inhoud van je LastPass-kluis en wijzig alle wachtwoorden die erin staan. De hackers hebben een kopie gemaakt, dus alles wat je wijzigt hebben ze vanuit hun kopie niets meer aan. Geef de prioriteit aan je email, bedrijfs-login, financiële dienstverleners en (belangrijke) social media accounts.

3. Activeer multi-factor authenticatie (MFA) bij alle accounts waar dat mogelijk voor is, in het bijzonder voor de bovengenoemde accounts, voor zover je dat nog niet gedaan had. Het gebruik van MFA is altijd een aanbeveling.

4. Controleer de inhoud van je beveiligde notities en bedenk wat een kwaadwillend persoon eventueel kan met deze informatie. Het verwijderen hiervan heeft nu geen zin meer, ze zijn al gekopieerd. Heb je hier bijvoorbeeld herstelcodes voor MFA opgeslagen, denk er dan ook aan om die voor de betreffende accounts opnieuw in te stellen.

5. Wijzig je hoofdwachtwoord voor LastPass. Als je nog geen supersterke passphrase gebruikte is dit het moment om er eentje aan te maken.

6. Als je al het bovenstaand toch aan het doen bent, overweeg over te stappen naar een andere wachtwoordmanager.

Het is een flinke klus om dit allemaal op te pakken, maar het alternatief is nog een stuk minder prettig.

Een nieuwe wachtwoordmanager kiezen

Zelf was ik ook enthousiast gebruiker van LastPass, maar met zeven significante incidenten in de laatste tien jaar tijd, plus het feit dat niet alle belangrijke informatie bij hen versleuteld was (iets dat in een hackersrapport uit 2015 al gemeld was bij LastPass) ga ik ook overstappen naar een nieuwe wachtwoordkluis.

Het is belangrijk dat we ons bewust zijn van de risico’s die gekoppeld zijn aan het gebruik van een dergelijke tool en de implementatie hiervan. Geen enkele tool is vrij van risico en ondanks de beperkingen van een LastPass is een cloud-based tool niet per definitie een slechte keuze. Ook lokale tools hebben hun beperkingen, want hier ben je zelf voor een groter deel verantwoordelijk voor de beveiliging. Ondanks dat zijn zowel cloud-based password managers als lokale tools nog altijd veiliger dan wachtwoorden in de browser onthouden of alles opschrijven in een (al dan niet beveiligd) Excel-bestand.

Voor cryptocurrency-enthousiasten

Tot slot wil ik even stilstaan bij de gebruikers van cryptocurrency, met name degenen die een eigen wallet hebben ingesteld en dan vooral die geen hardware wallet gebruiken. Aangezien de hacker kan zien welke websites je bezoekt met LastPass, bijvoorbeeld Binance of Kraken, kan dit ertoe leiden dat je eerder gezien wordt als aantrekkelijk doelwit. Als je private keys (ofwel seed phrases) voor wallets hebt opgeslagen in bijvoorbeeld je beveiligde notities betekent dit dat je het risico loopt dat je wallet onveilig is, zelfs al heb je je wachtwoord inmiddels gewijzigd. Met de private key kan een kwaadwillende immers altijd je wallet benaderen. Óók als je gebruik maakt van een hardware wallet.

Als je gebruik maakt van LastPass voor het beveiligen van je crypto-wachtwoorden en private keys, onderneem dan zo spoedig mogelijk de volgende stappen:

1. Wijzig je wachtwoorden van alle accounts die je met LastPass benadert

2. Controleer of je herstelsleutels voor MFA hebt opgeslagen in LastPass. Zo ja, stel je MFA dan opnieuw in.

3. Controleer of je private keys of seed phrases hebt opgeslagen in LastPass. Zo ja, maak dan een nieuwe wallet aan en stuur je crypto daar naartoe.

4. Bewaar altijd je private keys offline en maak zoveel mogelijk gebruik van een hardware wallet, zoals een Ledger of een Trezor.

Al met al leert dit incident ons weer: Een hack is een kwestie van tijd, het is van cruciaal belang hoe je hiermee omgaat en de schade zoveel mogelijk beperkt. Meer weten over hoe je jezelf en je bedrijf kan verdedigen tegen bedreigingen? Neem gerust contact met ons op.

Ondertussen ga ik reviews lezen van LastPass-concurrentie.

Nick van Tunen is adjunct-directeur en IT audit specialist bij van tunen+partners. Hij is expert in de koppeling tussen financiële processen en IT-beheer en helpt graag bedrijven dit beter in de greep te krijgen. Nick houdt van een praktische insteek en realistische doelen. Nick is te bereiken onder 020-5712333.