CEO van LastPass bevestigd beveiligingsincident

Karim Toubba, de CEO van LastPass, heeft donderdag 25 augustus 2022, het nieuws gedeeld dat er een security incident heeft plaatsgevonden.

Volgens dit bericht is er twee weken geleden ongebruikelijke activiteit gedetecteerd in delen van de LastPass-ontwikkelomgeving. LastPass heeft overigens geen bewijs gevonden dat er toegang is geweest tot klantgegevens of gecodeerde wachtwoordkluizen.

LastPass heeft wel vastgesteld dat een niet-geautoriseerde partij toegang heeft gekregen tot delen van de LastPass-ontwikkelomgeving via een enkele gecompromitteerde ontwikkelaarsaccount en delen van de broncode en een aantal bedrijfseigen technische informatie van LastPass hebben meegenomen. De producten en diensten werken verder normaal.

Als reactie op het incident heeft LastPass maatregelen genomen en een toonaangevend cyberbeveiligingsbedrijf ingeschakeld. Terwijl het onderzoek gaande is, zijn aanvullende en verbeterde beveiligingsmaatregelen geïmplementeerd en is er verder geen ongeautoriseerde activiteit meer gedetecteerd.

Hieronder vind je de antwoorden op de meest dringende eerste vragen en zorgen:

Veelgestelde vragen

1. Is mijn hoofdwachtwoord of het hoofdwachtwoord van mijn gebruikers gecompromitteerd?

Nee. Dit incident heeft het hoofdwachtwoord niet in gevaar gebracht. LastPass slaat het hoofdwachtwoord nooit op of hebben er geen kennis van. LastPass gebruikt een industriestandaard Zero Knowledge-architectuur die ervoor zorgt dat LastPass nooit het hoofdwachtwoord van klanten kan weten of er toegang toe kan krijgen.

2. Zijn er gegevens in mijn kluis of de kluis van mijn gebruikers gecompromitteerd?

Nee. Dit incident deed zich voor in de ontwikkelomgeving van LastPass. Het onderzoek van LastPass heeft geen bewijs opgeleverd van ongeautoriseerde toegang tot versleutelde kluisgegevens. Het zero-knowledge-model van LastPass zorgt ervoor dat alleen de klant toegang heeft tot het ontsleutelen van kluisgegevens.

3. Zijn mijn persoonlijke gegevens of de persoonlijke gegevens van mijn gebruikers gecompromitteerd?

Nee. Het onderzoek van LastPass heeft geen bewijs opgeleverd van ongeautoriseerde toegang tot klantgegevens in de productieomgeving.

4. Wat moet ik doen om mezelf en mijn kluisgegevens te beschermen?

Op dit moment hoeven gebruikers of beheerders geen actie te ondernemen. Lees hier alles over het instellen en configureren van LastPass.

5. Hoe kan ik meer informatie krijgen?

Heb je vragen naar aanleiding van deze berichtgeving? Neem dan even contact op met onze CISO Roy Sandbergen (roy.sandbergen@hallo.eu) op of bel ons op 088 25 50 100.