Tijdens het datalek bij LastPass is toch serieuze privacygevoelige data van eindgebruikers gekopieerd. Wel zou deze data alsnog met 256-bit AES encryptie zijn beveiligd.

In een update over het datalek van 30 november 2022 geeft de wachtwoordbeheerder aan dat de hacker toch data wist te kopiëren van een back-up die klanteninformatie bevatte. Dit doordat de cybercrimineel toegang wist te krijgen tot de cloud storage-omgeving van LastPass.

Basisinformatie en kluisdata

Het gaat hierbij om basisinformatie over klanten en gerelateerde metadata. De gekopieerde data omvatten onder meer bedrijfsnamen, namen van eindgebruikers, factuuradressen, e-mailadressen, telefoonnummers en de IP-adressen van klanten die toegang tot de online passwordmanager zoeken.

Daarnaast werd een back-up gekopieerd met de ‘kluisdata’ van klanten uit de versleutelde storage container. Deze back-up van kluisgegevens bevatte niet-versleutelde data als website URL’s en volledig versleutelde gevoelige gegevens als website user names, wachtwoorden, veilige notities en formulierdata. Het betekent dat de hacker een kopie van de volledig versleutelde wachtwoordkluizen heeft gemaakt.

256-bit AES encryptie

LastPass probeert in de update eindgebruikers gerust te stellen door aan te geven dat de ontvreemde versleutelde data nog steeds over 256-bit AES-encryptie beschikt. Om deze data te kunne versleutelen, is een unieke encryptiesleutel nodig die afkomstig is van ieder individueel master-wachtwoord van een gebruiker. Dit wachtwoord is niet bij LastPass bekend en wordt daar ook niet opgeslagen.

LastPass waarschuwt eindgebruikers dat cybercriminelen gaan proberen via een brute-force-aanval de master wachtwoorden te verkrijgen. Daarnaast wordt ook gewaarschuwd voor een golf aan phishing-aanvallen die erop uit zijn deze wachtwoorden te verkrijgen.

Tip: LastPass bevestigt tweede datalek in jaar tijd