De wachtwoordbeheerder van LastPass leed in augustus een beveiligingslek, waardoor de broncode en andere bedrijfseigen informatie werd gestolen, maar geen accountgegevens. Nu heeft het geleden een ander inbreuk, en deze keer, enkele gebruikersgegevens was gestolen.
LastPass kondigde het nieuwe beveiligingsprobleem aan in een blogpost en zei dat het mogelijk was met behulp van informatie die was verkregen tijdens de hack van augustus. Het bedrijf legde uit: “we hebben vastgesteld dat een onbevoegde partij, met behulp van informatie die is verkregen tijdens het incident van augustus 2022, toegang heeft gekregen tot bepaalde elementen van de informatie van onze klanten. De wachtwoorden van onze klanten blijven veilig versleuteld dankzij de Zero Knowledge-architectuur van LastPass.”
LastPass zei niet precies tot welke “bepaalde elementen” van klantinformatie toegang werd verkregen. Er is (naar verluidt) geen toegang verkregen tot wachtwoorden, waardoor e-mailadressen, betalingsgegevens of iets anders achterblijven. Het onderzoek van het bedrijf loopt nog.
Het is geweldig om te zien dat LastPass transparant is over eventuele inbreuken op de beveiliging – veel bedrijven houden beveiligingsincidenten gewoon zo lang mogelijk geheim – maar het is niet geweldig dat een wachtwoordbeheerder in een tijdsbestek van een paar maanden twee keer is gehackt. Er was ook een vermeend lek in december 2021, waarbij sommige mensen ongeoorloofde inlogpogingen hadden met een gestolen hoofdwachtwoord, maar LastPass schreef dat toe aan een credential stuffing-aanval gericht op mensen die wachtwoorden hergebruikten.
Bron: LastPass
Via: Gacks
