Verschillende LastPass-gebruikers beweren dat ze e-mails van het bedrijf ontvangen over ongeoorloofde inlogpogingen met hun hoofdwachtwoorden. Gelukkig heeft LastPass op het probleem gereageerd en de wachtwoordbeheerder zegt dat het geen gebruikersinformatie heeft gelekt.
Update, 29/12/21 8:07 uur Pasen: LastPass heeft het probleem verder onderzocht en vastgesteld dat de waarschuwingen ten onrechte zijn verzonden. Dan DeMichele, VP Product Management, LastPass, heeft een updateverklaring afgegeven over het probleem:
Zoals eerder vermeld, is LastPass op de hoogte van en heeft onderzoek gedaan naar recente meldingen van gebruikers die e-mails ontvangen die hen waarschuwen voor geblokkeerde inlogpogingen.
We hebben snel gewerkt om deze activiteit te onderzoeken en op dit moment hebben we geen aanwijzingen dat LastPass-accounts zijn gecompromitteerd door een onbevoegde derde partij als gevolg van deze inloggegevens, noch hebben we enige indicatie gevonden dat de LastPass-inloggegevens van de gebruiker door malware zijn geoogst, frauduleuze browserextensies of phishing-campagnes.
Uit grote voorzichtigheid zijn we echter doorgegaan met het onderzoeken om vast te stellen waardoor de automatische beveiligingswaarschuwings-e-mails van onze systemen werden getriggerd.
Ons onderzoek heeft sindsdien uitgewezen dat sommige van deze beveiligingswaarschuwingen, die naar een beperkte subset van LastPass-gebruikers zijn gestuurd, waarschijnlijk ten onrechte zijn geactiveerd. Als gevolg hiervan hebben we onze beveiligingswaarschuwingssystemen aangepast en is dit probleem inmiddels verholpen.
Deze waarschuwingen werden geactiveerd vanwege de voortdurende inspanningen van LastPass om zijn klanten te beschermen tegen kwaadwillenden en pogingen tot het opvullen van inloggegevens. Het is ook belangrijk om te herhalen dat LastPass’ zero-knowledge beveiligingsmodel betekent dat LastPass op geen enkel moment het hoofdwachtwoord(en) van een gebruiker opslaat, er kennis van heeft of er toegang toe heeft.
We zullen regelmatig blijven controleren op ongebruikelijke of kwaadaardige activiteiten en zullen, indien nodig, stappen blijven ondernemen om ervoor te zorgen dat LastPass, zijn gebruikers en hun gegevens beschermd en veilig blijven.”
Rapporten waren afkomstig van Hacker News, waar een gebruiker zei: “LastPass blokkeerde een inlogpoging vanuit Brazilië (ik was het niet). Volgens een e-mail die ik van LastPass heb ontvangen, gebruikte deze login het hoofdwachtwoord van de LastPass-account. De e-mail lijkt niet op een phishing-poging.”
Dit leidde tot speculatie dat LastPass op de een of andere manier hoofdwachtwoorden heeft gelekt, omdat deze e-mails alleen aankomen als de onbevoegde persoon inlogt met het juiste wachtwoord. Dit leek echter onwaarschijnlijk, aangezien LastPass duidelijk maakt dat het geen hoofdwachtwoorden op zijn servers opslaat en dat alles lokaal wordt gedaan.
We namen contact op met LastPass voor commentaar en een woordvoerder bevestigde onze vermoedens:
LastPass heeft recente meldingen van geblokkeerde inlogpogingen onderzocht en vastgesteld dat de activiteit verband houdt met vrij veel voorkomende botgerelateerde activiteiten, waarbij een kwaadwillende of slechte actor toegang probeert te krijgen tot gebruikersaccounts (in dit geval LastPass) met behulp van e-mailadressen en wachtwoorden die zijn verkregen van derde- partijinbreuken met betrekking tot andere niet-gelieerde diensten. Het is belangrijk op te merken dat we geen enkele aanwijzing hebben dat accounts met succes zijn geopend of dat de LastPass-service op een andere manier is gecompromitteerd door een onbevoegde partij. We controleren regelmatig op dit soort activiteiten en zullen stappen blijven ondernemen om ervoor te zorgen dat LastPass, zijn gebruikers en hun gegevens beschermd en veilig blijven.
Het lijkt erop dat LastPass in deze situatie precies deed wat het moest doen door een inlogpoging te blokkeren die verdacht leek.
Het klinkt alsof de gebruikers van wie hun wachtwoorden zijn gestolen, het slachtoffer kunnen zijn van een keylogger of een andere vorm van aanval van derden. Hun informatie kan ook zijn gelekt bij een niet-gerelateerde aanval waarbij ze hetzelfde e-mailadres en wachtwoord gebruiken.
Hoe dan ook, als u een LastPass-gebruiker bent (of een gebruiker van een gevoelige tool zoals een wachtwoordbeheerder), is het een goed idee om tweefactorauthenticatie in te schakelen om ervoor te zorgen dat u veilig bent voor iedereen die ongeautoriseerde toegang tot uw account krijgt. Het is ook nooit een slecht idee om je wachtwoord te wijzigen als je bang bent dat het om welke reden dan ook in gevaar kan komen.