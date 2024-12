In 2022 werd LastPass meermaals gehackt. De gevolgen ervan zijn jaren later nog steeds actueel. Vandaag blijkt dat veertig houders van cryptomunten beroofd zijn van 5,1 miljoen euro aan deze valuta.

De identiteit van de aanvaller is onbekend. Blockchain-onderzoeker ZachXBT ontdekte dat 40 crypto-portemonnees werden ingeruild voor Ethereum, dat later via verschillende instant-transacties naar Bitcoin werd getransfereerd.

Hack uit 2022

Wachtwoordmanager LastPass verloor in 2022 veel gevoelige gegevens door meerdere hacks. Source code, keys van klanten, API-tokens en MFA-seeds waren de voornaamste opbrengsten voor de aanvallers. In oktober 2023 en februari van dit jaar werden cryptomunten vervolgens gestolen via deze LastPass-data. Daar waar de eerste keer 4,4 miljoen euro werd binnengehaald, was dit de tweede keer 5,9 miljoen. Echter stelden andere onderzoekers dat de verliezen rond de 35 miljoen euro kunnen bedragen. Hoe hoog het bedrag volgens experts nu zou zijn met de nieuwste gegevens, is onbekend.

LastPass is inmiddels losgeweekt van voormalig eigenaar GoTo. Het bedrijf tracht het vertrouwen van gebruikers te herwinnen, die meer dan genoeg alternatieve wachtwoordmanagers kunnen kiezen. Het niet naleven van best practices schaadde het vertrouwen al, bijvoorbeeld het toestaan van korte, eenvoudig te raden wachtwoorden om de app in te schakelen. Nu opnieuw blijkt dat de schade voor klanten uit 2022 enorm kan zijn, wordt LastPass erop gedrukt dat eerdere fouten nog gevolgen in het heden hebben.

Klanten ook achtervolgd

Wie inmiddels is afgestapt van LastPass, is niet gevrijwaard van de negatieve gevolgen van de hack. Wie immers tot de onfortuinlijke groep behoort waarvan zowel de wachtwoorden als de cryptografische sleutels zijn gestolen, kan al gecompromitteerd zijn op elk account dat met LastPass verbond. De enige manier om dan veilig te zijn, is om alle wachtwoorden te hebben gewijzigd en MFA in te stellen. Zelfs dan is de gestolen informatie waardevol genoeg om overtuigende phishing-mail te ontvangen, dat gebruikers opnieuw teistert.

