Uit nader onderzoek naar mogelijke inbreuken van hackers op LastPass-accounts via zogenoemd ‘credential stuffing’ is gebleken dat LastPass iets te voorbarig is geweest in zijn conclusie. De systemen van LastPass zelf hebben de alerts gegenereerd.

De ophef rondom mogelijke hacks van LastPass-accounts door derde partijen heeft onverwacht een nieuwe wending gekregen. Daar waar het bedrijf in eerste instantie aangaf dat de uptake van het aantal inbreukalerts mogelijk de oorzaak was van hackers die zogenoemd ‘credential stuffing toepasten, is later een heel andere oorzaak achterhaald.

Oorzaak in eigen systemen

Uit nader onderzoek blijkt volgens een uitgebreidere versie van het statement van LastPass dat de security alert e-mails door de eigen systemen van LastPass zijn aangemaakt. Deze alerts werden vervolgens naar een beperkte subset van LastPass-gebruikers verstuurd.

LastPass bevestigt nu dat deze security alerts door een fout zijn aangemaakt. Waardoor dit is gebeurd, wordt in het statement echter niet aangegeven. In ieder geval heeft LastPass nu zijn systemen voor het versturen security alerts aangepast, zodat herhaling niet meer mogelijk is.

Sommige gebruikers nog sceptisch

Of de gebruikers van LastPass hierdoor overtuigd zijn valt nog te bezien. Uit berichten op social media hebben verschillende eindgebruikers nog hun twijfels. Ook hebben zij moeite met het herstellen van hun accounts.

Tip: Hackers proberen met credential stuffing LastPass-accounts te kraken