Hackers stalen versleutelde wachtwoorden bij LastPass
Hack bij wachtwoordmanager

Hackers stalen versleutelde wachtwoorden bij LastPass

23-12-2022 10:15 Laatste update: 16-05-2023 16:50

Hackers blijken bij een aanval afgelopen zomer de versleutelde wachtwoorden van gebruikers van de populaire wachtwoordmanager LastPass te hebben buitgemaakt.

LastPass meldt dat in een update over de hackaanval die in augustus plaatsvond. Destijds meldde LastPass dat er broncode en technische informatie was gestolen en dat de hackers geen gegevens van klanten of wachtwoorden hadden bemachtigd. Later bleek dat de hackers toch gebruikersnamen, adressen, telefoonnummers, e-mailadressen en IP-adressen hadden buitgemaakt. 

Nu zegt LastPass dat de hackers via een omweg ook toegang hebben gehad tot versleutelde wachtwoordkluizen van gebruikers. Die zijn echter alleen te ontsleutelen met het hoofdwachtwoord dat de gebruiker heeft aangemaakt. LastPass slaat hoofdwachtwoorden zelf niet op. Van hoeveel gebruikers de versleutelde gegevens zijn gestolen, is niet duidelijk.

LastPass is een van de populairste wachtwoordmanagers en heeft meer dan 33 miljoen gebruikers. Met een wachtwoordmanager kunnen mensen onder andere de inloggegevens van websites en apps op één plek bewaren. 

'Kraken duurt miljoenen jaren'

Hackers zouden de versleutelde wachtwoorden in theorie kunnen kraken via een zogeheten brute force-aanval, waarbij heel veel combinaties van gebruikersnamen en wachtwoorden worden geprobeerd. Maar als gebruikers een sterk hoofdwachtwoord hebben ingesteld, zou dat raden volgens het bedrijf 'miljoenen jaren duren'.

LastPass vereist vanaf 2018 dat hoofdwachtwoorden bestaan uit minimaal 12 tekens. Gebruikers die nog een korter wachtwoord hebben wordt aangeraden dat te veranderen. 

'Oppassen voor phishing'

LastPass waarschuwt klanten ook dat ze het doelwit kunnen worden van social engineering en pogingen tot phishing. "LastPass zal u nooit bellen, e-mailen of sms'en om u te vragen op een link te klikken om uw persoonlijke gegevens te verifiëren."  

Het cyberbeveiligingsbedrijf Mandiant doet nader onderzoek naar de hack en ook de 'relevante' autoriteiten zijn volgens LastPass op de hoogte gebracht. Het bedrijf zegt vanwege de hackaanval ook zijn 'hele ontwikkelomgeving' opnieuw op te bouwen.

Luister ook: