Het is nog geen jaar geleden dat belangrijke data uit internetkluis LastPass gejat werden door hackers. Een pijnlijk gebeuren, maar ondertussen heeft het bedrijf weinig van zich laten horen. Ook zijn er niet veel maatregelen genomen om gebruikers in te lichten over het lek, zo stellen onderzoekers. En een toponderzoeker is daar bijzonder verbolgen over.
LastPass-data ligt nog steeds op straat en er gebeurt niets
De dienst LastPass is een van de meest fenomenale kluizen als het gaat om wachtwoordbescherming. Maar ook zo’n gerenommeerd bedrijf kan wel eens in de fout gaan. Zo geschiedde dus ook bij het bedrijf dat vorig jaar werd aangevallen. Wachtwoorden werden nog steeds enigszins veilig gesteld, maar websites en metadata niet.
Onderzoeker en Adblock Plus-ontwikkelaar Wladimir Palant stipt dan ook aan dat LastPass rommelig met het lek is omgegaan. Het zou maanden hebben geduurd om gebruikers op de hoogte te brengen, of tips te geven om hun waardevolle data zeker te stellen.
De ernst van de aanval zou volgens Palant ook terzijde zijn geschoven en zijn er technische problemen die LastPass heeft genegeerd. Niet heel charmant voor een bedrijf dat onze sleutels in handen heeft.
Het pijnlijke is ook dat LastPass laat heeft gereageerd. Voor het bewaken van de data is er een zogenoemde ‘iteration count’. Hoe hoger deze waarde is, hoe moeilijker het is om een digitale kluis te kraken. LastPass heeft nu een ‘iteration count’ van 600.000, maar die stond toentertijd op 100.100. Een kluis kraken kon dus zes keer sneller.
Volgens Palant lijkt het erop dat bij bestaande accounts met de standaardinstellingen de waarden niet automatisch zijn bijgewerkt door LastPass. LastPass heeft in een verklaring aan IT-journalist Brian Krebs toegegeven dat “een klein percentage” van de gebruikers niet automatisch kon upgraden naar de nieuwe instellingen vanwege “beschadigde items” in hun wachtwoordkluis. “Ik kan echt niet verklaren waarom LastPass de beveiligingsinstellingen van bestaande accounts niet wilde aanpassen. “Toen ik ze erover aansprak, hebben ze keihard tegen me gelogen”, aldus Palant.
Palant krijgt in zijn kritiek bijval van Nicholas Weaver, onderzoeker aan het International Computer Science Institute van de University of California, op Security.nl. “En nu leggen ze de schuld bij gebruikers die een langere passphrase hadden moeten gebruiken, in plaats van dat ze zwakke standaardinstellingen hebben die nooit voor bestaande gebruikers zijn aangepast”, aldus Weaver.
“LastPass staat voor mij net boven slangenolie. Ik vond altijd dat je elke wachtwoordmanager kon gebruiken, maar dat is nu elke wachtwoordmanager behalve LastPass”.
Reacties
Inloggen of registreren
om een reactie achter te laten
Mijn wachtwoord is al jaren ‘computer’
Dat het bedrijf nog bestaat joh. Hier wil toch niemand meer zijn wachtwoorden stallen?
Zou je denken. Maar bij de bedrijven is het win some, lose some. En gewoon weer doorgaan.
Kijk eens naar bijvoorbeeld de WA schandaaltjes. Zuckerberg maakt het soms zo bond dat hij voor een commissie moet verschijnen. De mensen zijn liever doof voor negative geluiden. Zo ook bij Lastpass gebruikers.
By the way: Wil je weten wat voor mannetje Zuckerberg is kijk dan eens naar de film The social network.
Zo blij dat ik ben overgestapt naar Bitwarden, LastPass werd alsmaar slechter.
Zo bij met bitwarden. Het werkt ook gewoon top. Op het werk gebruiken we Keeper en ik erger me steeds weer kapot er aan. Bitwarden werkt veel fijner
Je kunt de kluis beter zelf in de hand houden en niet “in de cloud” (= op andermans computer) zetten. Ik gebruik PasswordSafe, zowel op de pc als op mijn telefoon. Als ik iets heb toegevoegd aan de kluis kopieer ik hem naar mijn andere apparaat en klaar is Kees.
Bedankt voor de tip.
Kijk ook eens naar syncthing voor het synchroniseren er van.
Ze bestaan kennelijk nog?