Password manager LastPass ligt onder vuur van hackers. De afgelopen dagen zijn meerdere pogingen gedaan in te breken op de digitale kluizen van eindgebruikers met behulp van master passwords. Volgens de password manager gaat het hierbij om zogenoemd ‘credential stuffing’.

Onlangs klaagden eindgebruikers van password manager LastPass dat met hun master password pogingen zijn gedaan in te breken in hun digitale kluizen met wachtwoorden. De inlogpogingen zijn automatisch geblokkeerd omdat de inlogpogingen vanaf een niet-bekende locatie werden uitgevoerd.

Notificaties

De getroffen eindgebruikers kwamen op de hoogte van de inbraakpoging omdat LastPass automatisch een notificatie verstuurd waarin werd gemeld dat iemand toegang heeft gezocht vanaf een onbekende locatie. De inlogpogingen waren onder meer afkomstig vanaf een geanonimiseerde proxy server en van IP-adressen uit Brazilië.

Credential stuffing

LastPass is inmiddels op de hoogte en heeft geconstateerd dat er inderdaad een kleine uptake is in inlogpogingen van dit soort acties. De password manager legt de oorzaak van deze hackpogingen bij zogenoemd ‘credential stuffing’. Daarbij gebruiken hackers e-mailadressen en wachtwoorden van andere inbreuken. Vervolgens proberen zij hiermee ‘op goed geluk’ in te breken in LastPass. Vooral die gebruikers die hun master password voor meerdere andere sites gebruiken, lopen hierdoor groot gevaar.

Uit verder onderzoek van de password manager blijkt dat er nog geen inbreuken zijn geweest. Wel raadt LastPass aan sterke en vooral unieke wachtwoorden voor zijn tool te gebruiken.

Spin-off van LogMeIn

Onlangs werd ook bekend dat LastPass in 2022 een spin-off krijgt van moederbedrijf LogMeIn en een onafhankelijk bedrijf gaat worden. Met de verzelfstandiging is de password manager volgens het moederbedrijf meer in staat zich verder te ontwikkelen. Denk daarbij onder meer aan het verbeteren van de klantenervaring en het verder ontwikkelen van diensten voor single sign-on en multi-factor authenticatie.