Vandaag kreeg ik per e-mail een beveiligingsrapport van Last Pass inzake hun onderzoek naar de hack van oktober 2022. Er worden aan gratis gebruikers wat aanbevelingen gedaan. Helaas staan de oplossingen in het Engels en dat is niet mijn moedertaal.
Ik heb mijn hoofdwachtwoord gewijzigd. Weet iemand of er nog meer actie nodig is?
3
Ga er maar van uit dat je het beste al je wachtwoorden kunt wijzigen die je gebruikt.
Er blijkt namelijk veel meer gestolen dan gedacht, inclusief codes om hashkeys mee te ontcijferen. Er zijn ook backups met kluisgegevens gestolen namelijk.
https://www.security.nl/posting/787620/ ... n+accounts
Ik zou het dus niet beperken tot alleen het hoofdwachtwoord.
Er blijkt namelijk veel meer gestolen dan gedacht, inclusief codes om hashkeys mee te ontcijferen. Er zijn ook backups met kluisgegevens gestolen namelijk.
https://www.security.nl/posting/787620/ ... n+accounts
Ik zou het dus niet beperken tot alleen het hoofdwachtwoord.
Greetings, Black Tiger.
4
Vorig jaar december heeft een security researcher uit het VK al gewaarschuwd op zijn LinkedIn pagina hoe kluizen van Last Pass middels Brute Force te kraken zijn. Zie de eerste link, daarin verwijst hij naar een proof-of-concept.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
8
Ik weet niet wat het verschil is tussen de gratis en de betaalde versie v.w.b. opslag van wachtwoorden, maar gezien wat er gestolen is, lijkt het mij in beide gevallen handig alles te wijzigen. Of in elk geval de meest belangrijke, winkels waar je vaak koopt en zaken wat met geld te maken hebben, zoals de bank.
Maar ben benieuwd wat de deskundigen aldaar er van vinden.
Maar ben benieuwd wat de deskundigen aldaar er van vinden.
Greetings, Black Tiger.
9
Hierbij de info over de LastPass incidenten en aanbevelingen.
https://blog.lastpass.com/nl/2023/03/up ... en-acties/
https://blog.lastpass.com/nl/2023/03/up ... en-acties/
Groeten, Jos H
11
Dat zijn gewoon standaard aanbevelingen mijns inziens die je sowieso al zou moeten doen. Er wordt niet gerept over het veranderen van een wachtwoorden, alleen dat ze sterk genoeg moeten zijn en dat soort dingen en dat je 2 FA moet gebruiken en dark web monitoring.
En dat is van toepassing op de free en betaalde versies, alleen de business schijnt iets anders te hebben (heb ik niet gelezen).
Zoals gezegd, ik zou sowieso het master password wijzigen en de meest belangrijke (bank, belasting, webshops) wachtwoorden en voor alle veiligheid daarna beetje bij beetje de rest ook zodat alles veranderd is uiteindelijk.
En dat is van toepassing op de free en betaalde versies, alleen de business schijnt iets anders te hebben (heb ik niet gelezen).
Zoals gezegd, ik zou sowieso het master password wijzigen en de meest belangrijke (bank, belasting, webshops) wachtwoorden en voor alle veiligheid daarna beetje bij beetje de rest ook zodat alles veranderd is uiteindelijk.
Greetings, Black Tiger.
12
Persoonlijk vind ik de verklaring nogal terughoudend en cryptisch! Een account veilig houden hoort sowieso voorop te staan. Dit bericht doet vermoeden dat de impact mogelijk (nog) groter dan nu bekend is, ik begrijp dat LastPass terughoudend is in het vrijgeven van - het hoe of wat. Maar maanden terug was het al urgent, nu is er incident 1 & 2 in hun verklaring. Beide zijn onlosmakelijk met elkaar verbonden denk ik,
Dit gaat ongetwijfeld een vervolg krijgen zoals ik het lees,
Incident 1:
De zakelijke laptop van een software-engineer werd gehackt, waardoor de dader ongeoorloofd toegang kon krijgen tot een ontwikkelingsomgeving in de cloud en zo broncode, technische gegevens en bepaalde interne systeemgeheimen van LastPass kon stelen.
Incident 2:
De dader richtte zich op een senior DevOps-engineer door gebruik te maken van een kwetsbaarheid in externe software. De dader heeft deze kwetsbaarheid gebruikt om malware te installeren. De bestaande beveiligingsmechanismen zijn omzeild en uiteindelijk verkreeg de dader ongeoorloofde toegang tot back-upsystemen in de cloud. De gegevens in deze back-ups omvatten gegevens over systeemconfiguraties, API-geheimen, integratiegeheimen voor integraties met software van derden, en versleutelde en onversleutelde klantgegevens van LastPass.
Dit gaat ongetwijfeld een vervolg krijgen zoals ik het lees,
Incident 1:
De zakelijke laptop van een software-engineer werd gehackt, waardoor de dader ongeoorloofd toegang kon krijgen tot een ontwikkelingsomgeving in de cloud en zo broncode, technische gegevens en bepaalde interne systeemgeheimen van LastPass kon stelen.
Incident 2:
De dader richtte zich op een senior DevOps-engineer door gebruik te maken van een kwetsbaarheid in externe software. De dader heeft deze kwetsbaarheid gebruikt om malware te installeren. De bestaande beveiligingsmechanismen zijn omzeild en uiteindelijk verkreeg de dader ongeoorloofde toegang tot back-upsystemen in de cloud. De gegevens in deze back-ups omvatten gegevens over systeemconfiguraties, API-geheimen, integratiegeheimen voor integraties met software van derden, en versleutelde en onversleutelde klantgegevens van LastPass.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
13
Vandaar ook mijn advies.
Dat denk ik ook, maar ik was nog voorzichtig met m'n uitspraken. Maar er is te weinig bekend gemaakt door Lastpass in eerste instantie en ze zijn ook bijzonder laat om nu pas bekend te maken dat halverwege vorig jaar al die laptop van die software engineer gehackt is waarbij die decryptie sleutel ook was buit gemaakt.Maxstar schreef: Dit bericht doet vermoeden dat de impact mogelijk (nog) groter dan nu bekend is,
Vandaar ook mijn advies.
Greetings, Black Tiger.
15
Ik gebruik al geruime tijd KeePass XC en ben daar zeer tevreden over. Voorheen ook KeePass en de Kaspersky Password Manager gebruikt, dit was een betaalde versie. Online wachtwoordbeheerders heb ik nooit gebruikt.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)