Hackers zijn erin geslaagd om wachtwoorden en gebruikersnamen van LastPass te stelen, dat maakt de wachtwoordbeheerder bekend. Het is niet bekend hoeveel gebruikers zijn getroffen, maar accounts kunnen wel gevaar lopen. We leggen uit hoe je je account het beste beveiligt en hoe je kan overstappen naar een andere wachtwoordbeheerder.
Lees verder na de advertentie.
LastPass-hack
Kwaadwillenden zijn er dan toch in geslaagd om wachtwoorden te bemachtigen van LastPass-gebruikers, dat is zopas bekend geraakt. Nadat de wachtwoordbeheerder nog eerder stelde dat gebruikersdata veilig was, biecht het bedrijf nu op in een nieuw blogbericht dat er wel degelijk persoonlijke gegevens zijn gelekt.
Hackers hebben toegang gekregen tot LastPass’ wachtwoordenkluis en daar hebben ze versleutelde wachtwoorden gekopieerd. Die wachtoorden zijn beveiligd door 256-bit AES-encryptie en dat wil zeggen dat kwaadwillenden ze enkel kunnen ontgrendelen als ze ook het masterwachtwoord van LastPass-gebruikers hebben. Gelukkig is dat masterwachtwoord nooit bekend bij LastPass en ze werden dus ook nergens opgeslagen bij het bedrijf.
Beveilig je masterwachtwoord
Er is met andere woorden nog een extra beschermlaag die hackers ervan weerhoudt om wachtwoorden echt te misbruiken. Al hangt alles af van de sterkte van het masterwachtwoord. LastPass geeft toe dat masterwachtwoorden met bepaalde technieken gekraakt kunnen worden, maar hackers zouden miljoenen jaren nodig hebben om die te kraken als het gaat om complexe wachtwoorden van 12 tekens. De zwakste wachtwoorden zijn dan weer in enkele seconden gekraakt.
Natuurlijk kunnen we ervan uitgaan dat lang niet alle LastPass-gebruikers zo’n sterk wachtwoord gebruiken van 12 tekens. Heel wat gebruikers zullen kiezen voor gebruiksgemak, maar deze mensen lopen dus risico. Het is niet duidelijk hoeveel gebruikers getroffen zijn, maar het zou gaan om “minder dan 3 procent” van het totaal aantal klanten. Gebruikers die zijn getroffen, kregen in een mail van LasPass het advies om al hun wachtwoorden van accounts te wijzigen.
Phishing
LastPass is in 2022 tweemaal het slachtoffer geworden van cyberaanvallen. Dat gebeurde eerst in august en daarna nog een tweede keer. Bij die aanval in augustus kregen hackers toegang tot de broncode van LastPass en bepaalde technische gegevens, maar nu is dus bekend geraakt dat er toen ook wachtwoorden zijn verkregen.
Bij de tweede aanval werd gebruik gemaakt van de eerder gestolen informatie om dan gevoelige gegevens van klanten te bemachtigen. Er zijn toen onder meer: namen van gebruikers of bedrijven, adressen, e-mailadressen, telefoonnummers en IP-adressen gestolen.
Als een gevolg daarvan kunnen LastPass-gebruikers mogelijk het doelwit worden van phishingaanvallen. Dat wil zeggen dat hackers via een misleidend bericht, telefoongesprek of e-mail zullen proberen om nog meer belangrijke gegevens te achterhalen. Denk bijvoorbeeld aan je bankgegevens. Anderzijds kunnen ze ook proberen om rechtstreeks geld te bekomen van hun slachtoffers.
Kies voor een alternatief
Androidworld raadt lezers aan om te kijken naar alternatieven voor LastPass. Hoewel de kans nog steeds groot is dat je wachtwoorden op dit moment nog steeds veilig zijn, bestaat altijd de kans dat er nog meer aanvallen op LastPass zullen volgen. De broncode van de wachtwoordbeheerder is immers gelekt en dat maakt de dienst kwetsbaar. LastPass verklaarde na de eerste aanval dat het maatregelen neemt om zijn platform te beveiligen, maar dat kon een tweede aanval niet voorkomen.
- Zo zet je LastPass-wachtwoorden over naar een andere dienst
- De beste wachtwoordbeheerders van het moment
Als je inderdaad je wachtwoorden willen overzetten, lees dan zeker de bovenstaande artikelen. Daarin leggen we stapsgewijs uit hoe je eerst wachtwoorden exporteert en daarna je LastPass-account opzegt. En wens je toch bij LastPass te blijven: wijzig dan je masterwachtwoord in een complexe code.
Wil je op de hoogte blijven van het laatste nieuws over beveiliging? Download dan onze Android-app en volg ons via Google Nieuws en op Telegram, Facebook, Instagram en Twitter.
Reacties
Inloggen of registreren
om een reactie achter te laten
Dit viel te verwachten na de eerdere berichten over dit bedrijf…..
Als je er nog zit dan Wegwezen daar en je kluis exporteren naar een betere manager die wel betrouwbaar is.
Ik begon ooit met Moxier passwordmanager begonnen daar waren ook veel problemen. veel van hun hack kwam door tijd en geld gebrekt voor onderhouden van servers ook namen ze niet zo nauw met privacy……
servers waren geregisstreerd in Egypte.
Samsung Pass voldoet prima ?
Voor op je mob wel inderdaad.
Ik heb alleen een phone & tablet dus voor mijn werkt het prima
Let op – welliswaar is de kluis met wachtwoorden versleuteld (en “gesalt” als je dat hebt ingesteld), maar de url’s met tokens etc stonden in “clear text” – dwz leesbaar! Daarmee is de impact ineens veeeeeel groter – lees, de hackers kunnen inloggen zonder de kluis te ontsleutelen!
Lees meer op https://twitter.com/jsrailton/status/1606195077939744768?t=gzUw6FzwP8DHSBV0dbg9kg&s=19
Eerst ook Lastpass gebruikt, vervolgens Dashlane maar sinds een half jaar overgestapt naar 1Password. In mijn ogen tot nu toe de beste en fijnste wachtwoordenmanager.
Jarenlang LastPass gebruikt maar die werd na elke update slechter. Ruim een jaar geleden overgestapt naar Bitwarden, geen seconde spijt van gehad en is nog gratis ook.
Ik was al een poosje overgestapt naar BitWarden, ook omdat Lastpass opeens de prijzen enorm verhoogde.
Hahhahahahha en een tijdje geleden vonden sommige gebruikers dit beter dan die van Google.
Leedvermaak is een erg lelijke karaktertrek… ?
Is verre van leed vermaak hoor.
gaat goed met die app? een paar jaar geleden ook al diegene die ik gebruik is tot zover nog nooit bekend van zoiets geweest afkloppen uiteraard
Bij het vorige stuk over deze partij reageerde iemand dat de wachtwoordkluizen beveiligd zijn, dus dat toegang tot gegevens niet zoveel uit zouden maken.
Binnen kunnen komen bij zo’n partij is funest voor de veiligheid van de gebruikers. Je kunt bij twijfel het best meteen uitstappen.
Vaarwel Lastpass en denk eens na over je verdienmodel…