Password manager LastPass onderzoekt een intern datalek. Een niet-gemachtigde aanvaller kreeg onlangs toegang tot de gegevens van klanten.

De organisatie deelde het nieuws in een verklaring. De details zijn schaars. LastPass bevestigt niet of en hoeveel gegevens de aanvaller buitmaakte. De organisatie informeerde politiediensten en schakelde securitybedrijf Mandiant in. Beide signalen wijzen op een ernstig incident.

LastPass ontwikkelt oplossingen voor password management. Bedrijven en particulieren gebruiken de software om wachtwoorden te genereren en op te slaan.

“We hebben onlangs verdachte activiteit gedetecteerd in de cloud storage-dienst van een derde”, schreef de organisatie in de verklaring. Nader onderzoek wees uit dat een aanvaller toegang kreeg tot “bepaalde delen van onze klantengegevens”, aldus LastPass.

LastPass bevestigde niet over welke gegevens het gaat. De organisatie voegde toe dat de wachtwoorden van klanten zijn versleuteld.

Twee keer raak

De aanvaller kreeg toegang tot de cloud storage-dienst met gegevens die eerder dit jaar zijn gestolen. In augustus 2022 gebruikte een aanvaller de gehackte account van een developer om bedrijfsgegevens van LastPass weg te loodsen.

LastPass verklaarde toentertijd dat de aanvaller uitsluitend toegang had tot de ontwikkelingsomgeving van het bedrijf. Klantengegevens en wachtwoorden zouden veilig zijn. “We willen je verzekeren dat jouw persoonsgegevens en wachtwoorden veilig zijn in ons beheer”, aldus de organisatie.

Inmiddels is de situatie allesbehalve zeker. In de nieuwe verklaring bevestigt LastPass zwart op wit dat de recente aanval mogelijk is gemaakt door het incident in augustus. Dit keer lopen klantengegevens wel degelijk risico.

LastPass bevestigt niet of er sprake is van gegevensdiefstal, maar de aanvaller heeft zonder twijfel toegang gehad. Het onderzoek loopt. “We zullen updates geven naarmate we meer te weten komen”, zei de organisatie.

Tip: LastPass-hackers hadden vier dagen toegang tot interne systemen