In augustus 2022 bracht LastPass, een digitale wachtwoord-kluis-dienst, naar buiten dat er ingebroken was. De laatste berichtgeving kwam net voor de feestdagen. Inmiddels is het bijna februari 2023. Een goed moment om eens terug te blikken. Althans, wat is er inmiddels duidelijk? En is het eigenlijk al wel over?
Augustus 2022
De eerste berichtgeving van LastPass was op 25 augustus 2022. Klanten werden per e-mail geïnformeerd over een inbraak in de systemen van LastPass. Die inbraak had toen twee weken eerder plaatsgevonden. De toegang door de daders was verkregen door middel van een account van een ontwikkelaar van LastPass. De toegang zou beperkt zijn gebleven tot de ontwikkelomgeving van LastPass. Ook zouden er geen gevoelige gegevens gelekt zijn.
September 2022
Op 15 september is er op het blog van LastPass een update verschenen die verder niet veel aandacht kreeg. In deze update gaf LastPass toe dat er broncode van de software en technische informatie gestolen was. Dit sloot uiteraard aan op het idee dat er slechts toegang verkregen was tot de ontwikkelomgeving. Door de beveiligingsprincipes zou de gestolen broncode geen probleem moeten zijn. De technische informatie was aannemelijk documentatie over de software. Zo leek het.
November 2022
Op 30 november 2022 werd er nogmaals via het blog verheldering gegeven. LastPass gaf aan recent opmerkelijke activiteit waargenomen te hebben bij een leverancier, waar LastPass cloud storage afnam. Opslag van gegevens op internet dus. Hierbij was bekend geworden dat er klantgegevens buit gemaakt zijn. Maar nogmaals werd benadrukt dat wachtwoorden veilig bleven, omdat de hoofdwachtwoorden van kluizen niet buit gemaakt zijn. Dat kan ook niet, want die worden niet door LastPass opgeslagen. Die heeft alleen de kluiseigenaar, de gebruiker dus, en blijft op je eigen computer. Dit hoofdwachtwoord is essentiëel in het algoritme om de kluisgegevens te kunnen ontsleutelen. Dat is in elk geval prettig.
December 2022
En toen was het 22 december. Waarschijnlijk niet geheel ontoevallig nét voor de feestdagen. LastPass komt nogmaals met berichtgeving. Dit keer iets uitgebreider. Er werden eerder weinig woorden geschreven over het feit dat er kopieën van kluisbestanden van klanten buitgemaakt zijn. Er werd enkel in het algemeen gesuggereerd dat hoofdwachtwoorden niet buit gemaakt konden zijn, en dat het dus allemaal veilig was. Toch waren die kluisbestanden dus wél buitgemaakt. Deels versleuteld, deels niet. Maar naast kluisbestanden waren er ook klantgegevens buit gemaakt zoals IP-adressen, e-mailadressen, facturen, voor- en achternamen en telefoonnummers.
Januari 2023
Radiostilte. Het is morgen 1 februari en het LastPass-blog is tot net vóór de kerstdagen niet meer aangevuld. Bijzonder, want ondanks dat de meeste mensen tijdens de feestdagen totaal gemist hebben dat LastPass een behoorlijk incident uit de doeken deed, zijn er nog veel vragen. Zo wekte LastPass de suggestie dat de twee inbraken in augustus 2022 en november 2022 afzonderlijke incidenten waren. Toch is het meer aannemelijk dat de toegang in november een direct gevolg is van laterale beweging op basis van vergaarde informatie tijdens de inbraak in augustus, zoals dat vaak gaat bij digitale inbraken zoals dit.
Ook is het in het voordeel van LastPass om de twee te presenteren als losse incidenten. Het is niet prettig om toe te moeten geven dat de situatie niet onder controle is, en dat de inbraak al maanden voort duurt zonder dat LastPass er werkelijk grip op weet te krijgen. In tegenstelling werd in september 2022 beweerd dat het eerste incident meteen correct afgerond en afgehandeld was.
Later zijn er echter versleutelde kluizen en ook onversleutelde gegevens buit gemaakt. Dit is niet voorkomen, te laat opgemerkt en niet tijdig gestopt. Naast de eerder genoemde persoonlijke gegevens is toen ook gebleken dat LastPass de website-adressen (URL's) niet versleutelde en heeft gelekt. Die adressen kunnen privacygevoelig zijn voor sommige gebruikers.
De gestolen kluizen zijn echter voor het grootste deel wél versleuteld. Zo blijven gebruikersnamen en wachtwoorden van accounts voor nu buiten schot. Het is aannemelijk dat de criminelen achter deze inbraak door middel van bruteforce en dictionary-aanvalshoeken proberen om toegang te verkrijgen. Door de moderne versleuteling is het op andere wijze gelukkig onbegonnen werk, voor nu.
Toch is het mogelijk dat er in de toekomst toegang tot de kluizen verkregen gaat worden. Bijvoorbeeld als sterke computers in de toekomst de algoritmes van nu sneller weten te kraken. De kluisbestanden zijn immers met de huidige algoritmes gestolen, die kunnen in de loop van de tijd niet meer gemoderniseerd worden. Het is daarom toch aan te raden om wachtwoorden en andere gevoelige gegevens te wijzigen.
Het vervolg?
Wij kijken in elk geval uit naar meer opvolging vanuit LastPass. Inhoudelijk, open en eerlijk. Het liefst zonder trucjes zoals het slechte nieuws bewaren tot een gunstig moment, het bagatelliseren van wat er buit gemaakt is of het spelen met woorden om de illusie te wekken dat het allemaal onder controle is.
Alles kent risico's. Niets is 100% veilig. Forendox raadt aan om wachtzinnen te gebruiken, dus langer dan wachtwoorden. Zo is het kraken door middel van bruteforce en/of dictionary-aanvalshoeken extreem tijdrovend. Korte wachtwoorden zijn een makkelijker doelwit. Het verschil kan letterlijk jaren extra kosten.
Wachtzinnen zijn tevens makkelijker te onthouden. Noteer ze dan ook nergens anders. Gebruik daarnaast overal een andere wachtzin. Als het echter om veel accounts gaat dan is een digitale wachtwoord-kluis de enige zinnige oplossing. Ook nu nog. Dat kan gaan om LastPass, Bitwarden of bijvoorbeeld KeePass. Met moderne sterke encryptie en een sterke wachtzin als hoofdwachtwoord. Als het mogelijk is zelfs met meervoudige authenticatie. Beveiliging is immers altijd slechts zo sterk als de zwakste schakel.