Het populaire wachtwoordbeheerbedrijf LastPass ligt dit jaar onder vuur, na een netwerkinbraak in augustus 2022.
Details over hoe de aanvallers binnenkwamen zijn nog steeds schaars, met LastPass’s eerste officiële commentaar waarin voorzichtig staat dat:
[Een onbevoegde partij kreeg toegang tot delen van de LastPass ontwikkelingsomgeving via een enkele gecompromitteerde ontwikkelaarsaccount.
Een follow-up aankondiging ongeveer een maand later was ook niet overtuigend:
[De bedreigende partij kreeg toegang tot de ontwikkelomgeving via een gecompromitteerd eindpunt van een ontwikkelaar. Hoewel de methode die werd gebruikt voor de eerste compromittering van het endpoint niet duidelijk is, gebruikte de dreigingsacteur zijn aanhoudende toegang om zich voor te doen als de ontwikkelaar nadat deze zich met succes had geverifieerd met behulp van multi-factorauthenticatie.
Er blijft niet veel over in deze paragraaf als je het jargon weglaat, maar de sleutelzinnen lijken “gecompromitteerd endpoint” (in gewoon Engels betekent dit waarschijnlijk: met malware geïnfecteerde computer), en “aanhoudende toegang” (wat betekent: de oplichters kunnen er later op hun gemak weer in).
2FA helpt niet altijd
Helaas hielp, zoals je hierboven kunt lezen, twee-factor authenticatie (2FA) niet bij deze specifieke aanval.
We vermoeden dat dat komt omdat LastPass, net als de meeste bedrijven en online diensten, niet letterlijk 2FA vereist voor elke verbinding waar authenticatie nodig is, maar alleen voor wat je primaire authenticatie zou kunnen noemen.
Om eerlijk te zijn doen veel of de meeste diensten die u gebruikt, waarschijnlijk inclusief uw eigen werkgever, over het algemeen iets soortgelijks.
Typische 2FA-uitzonderingen, bedoeld om de meeste voordelen ervan te benutten zonder een te hoge prijs te betalen voor ongemak, zijn onder meer:
- Slechts af en toe volledige 2FA doen, zoals slechts om de paar dagen of weken nieuwe eenmalige codes aanvragen. Sommige 2FA systemen bieden bijvoorbeeld een “onthoud mij voor X dagen” optie.
- Alleen 2FA vereisen voor de eerste keer inloggen en vervolgens een soort “single sign-on” systeem toestaan om u automatisch te authenticeren voor een groot aantal interne diensten. In veel bedrijven geeft het inloggen op e-mail je bijvoorbeeld ook toegang tot andere diensten zoals Zoom, GitHub of andere systemen die je veel gebruikt.
- Uitgifte van “tokens voor toegang aan toonder” voor geautomatiseerde softwaretools, gebaseerd op incidentele 2FA-verificatie door ontwikkelaars, testers en technisch personeel. Als u een geautomatiseerd bouw- en testscript hebt dat op verschillende momenten in het proces toegang moet krijgen tot verschillende servers en databases, wilt u niet dat het script voortdurend wordt onderbroken om te wachten tot u de zoveelste 2FA-code invoert.
- Verplicht 2FA alleen voor de eerste keer inloggen vanaf een nieuw apparaat, zoals een nieuwe mobiele telefoon. Dit minimaliseert het aantal keren dat u zelf het 2FA proces moet doorlopen en voorkomt toch dat oplichters uw wachtwoorden gewoon op hun eigen apparaten uitproberen.
We hebben geen bewijs gezien…
In een vlaag van vertrouwen waarvan we vermoeden dat LastPass er nu spijt van heeft, zei het bedrijf aanvankelijk, in augustus 2022:
We hebben geen bewijs gezien dat dit incident betrekking had op enige toegang tot klantgegevens of versleutelde wachtwoordkluizen.
Natuurlijk, “we hebben geen bewijs gezien” is geen erg sterke verklaring (niet in het minst omdat instransigente bedrijven het waar kunnen maken door bewust niet te zoeken naar bewijs in de eerste plaats, of door iemand anders het bewijs te laten verzamelen en dan doelbewust te weigeren ernaar te kijken), hoewel het vaak alles is wat een bedrijf naar waarheid kan zeggen in de onmiddellijke nasleep van een inbreuk.
LastPass deed echter onderzoek en voelde zich in staat om een definitieve claim in te dienen in september 2022:
Hoewel de dader toegang kon krijgen tot de ontwikkelingsomgeving, hebben ons systeemontwerp en onze controles voorkomen dat de dader toegang kreeg tot klantgegevens of versleutelde wachtwoordkluizen.
Helaas bleek die bewering iets te stoutmoedig.
De aanval die leidde tot een aanval
LastPass gaf al vroeg toe dat de oplichters “delen van de broncode en wat eigen LastPass technische informatie meenamen”…
…en het lijkt er nu op dat sommige van die gestolen technische informatie genoeg was om een vervolgaanval mogelijk te maken die in november 2022 werd onthuld:
We hebben vastgesteld dat een onbevoegde partij, met behulp van informatie verkregen in het augustus 2022 incident, in staat was om toegang te krijgen tot bepaalde elementen van de informatie van onze klanten.
Om eerlijk te zijn tegen LastPass, herhaalde het bedrijf niet zijn oorspronkelijke bewering dat er geen wachtwoordkluizen waren gestolen en verwees het alleen naar “informatie van klanten” die was gestolen.
Maar in zijn eerdere berichten over inbreuken had het bedrijf voorzichtig gesproken over klantgegevens (waarbij de meesten van ons denken aan informatie zoals adres, telefoonnummer, betaalkaartgegevens, enzovoort) en gecodeerde wachtwoordkluizen als twee verschillende categorieën.
Deze keer blijkt “klanteninformatie” echter zowel klantgegevens, in bovenstaande zin, als wachtwoordbestanden te omvatten.
Niet letterlijk in de nacht voor Kerstmis, maar wel gevaarlijk dichtbij, gaf LastPass dat toe:
De bedreigende actor kopieerde informatie van back-ups die basisgegevens over klantenaccounts en gerelateerde metadata bevatten, waaronder bedrijfsnamen, namen van eindgebruikers, factuuradressen, e-mailadressen, telefoonnummers en de IP-adressen van waaruit klanten toegang kregen tot de LastPass-service.
Vrij vertaald weten de oplichters nu wie u bent, waar u woont, welke computers op het internet van u zijn en hoe ze elektronisch contact met u kunnen opnemen.
De bekentenis gaat verder:
De dader was ook in staat om een back-up van de kluisgegevens van klanten te kopiëren.
De oplichters hebben dus toch die wachtwoordkluizen gestolen.
Intrigerend genoeg heeft LastPass nu ook toegegeven dat wat het beschrijft als een “wachtwoordkluis” niet echt een gecodeerde BLOB is (een grappig beschrijvend jargonwoord dat binair groot object betekent) die alleen en volledig bestaat uit gecodeerde, en dus onbegrijpelijke, gegevens.
Die “kluizen” bevatten ook onversleutelde gegevens, blijkbaar inclusief de URL’s voor de websites die horen bij elke versleutelde gebruikersnaam en wachtwoord.
De oplichters weten nu dus niet alleen waar u en uw computer zich bevinden, dankzij de hierboven genoemde gelekte factuur- en IP-adresgegevens, maar hebben ook een gedetailleerde kaart van waar u naartoe gaat als u online bent:
[C]ustomer vault data […] wordt opgeslagen in een eigen binair formaat dat zowel onversleutelde gegevens bevat, zoals website URL’s, als volledig versleutelde gevoelige velden zoals website gebruikersnamen en wachtwoorden, beveiligde notities en formulier ingevulde gegevens.
LastPass heeft geen andere details gegeven over de onversleutelde gegevens die in die kluisbestanden zijn opgeslagen, maar de woorden “zoals website-URL’s” hierboven impliceren zeker dat URL’s niet de enige persoonlijke gegevens zijn die de oplichters nu direct kunnen uitlezen, zonder wachtwoorden te kraken.
Het goede nieuws
Het goede nieuws, blijft LastPass benadrukken, is dat de beveiliging van de back-up wachtwoorden in uw kluisbestand niet anders zou moeten zijn dan de beveiliging van elke andere cloudback-up die u op uw eigen computer versleutelde voordat u deze uploadde.
Volgens LastPass bestaan de wachtwoordgegevens waarvan het een back-up voor u maakt nooit in onversleutelde vorm op de eigen servers van LastPass, en LastPass bewaart of ziet uw hoofdwachtwoord nooit.
Daarom, zegt LastPass, worden uw back-up wachtwoordgegevens altijd geüpload, opgeslagen, geopend en gedownload in gecodeerde vorm, zodat de oplichters nog steeds uw hoofdwachtwoord moeten kraken, ook al hebben ze nu uw gecodeerde wachtwoordgegevens.
Voor zover wij kunnen nagaan, gebruiken de hoofdwachtwoorden van LastPass die in de afgelopen jaren zijn ingesteld, een salt-hash-and-stretch wachtwoordgeneratiesysteem dat dicht bij onze eigen aanbevelingen ligt, met behulp van het PBKDF2-algoritme met random data, SHA-256 als de interne hash, en 100.100 iteraties.
LastPass heeft niet gezegd, of kon niet zeggen, in zijn update van november 2022 hoe lang het duurde voor de tweede golf van oplichters om in zijn cloud-servers te komen na de eerste aanval op zijn ontwikkelingssysteem in augustus 2022.
Maar zelfs als we aannemen dat de tweede aanval onmiddellijk volgde en pas later werd opgemerkt, hebben de criminelen hooguit vier maanden de tijd gehad om te proberen de hoofdwachtwoorden van iemands gestolen kluis te kraken.
Het is daarom redelijk om aan te nemen dat alleen gebruikers die eenvoudig te raden of vroeg te kraken wachtwoorden hadden gekozen een serieus risico lopen, en dat iedereen die de moeite heeft genomen om zijn wachtwoorden te veranderen sinds de eerste bekendmaking van de inbreuk de oplichters waarschijnlijk voor is gebleven.
Vergeet niet dat lengte alleen niet voldoende is voor een goed wachtwoord. Uit anekdotes blijkt zelfs dat 123456, 12345678 en 123456789 tegenwoordig vaker worden gebruikt dan 1234, waarschijnlijk vanwege de lengtebeperkingen van de huidige inlogschermen. En vergeet niet dat wachtwoordkrakers niet gewoon beginnen bij AAAA en dan als een alfanumerieke kilometerteller doorgaan naar ZZZZ…ZZZZ. Ze proberen wachtwoorden te rangschikken op hoe waarschijnlijk het is dat ze worden gekozen, dus u moet ervan uitgaan dat ze lange maar mensvriendelijke wachtwoorden zoals BlueJays28RedSox5! (18 tekens) lang voordat ze bij MAdv3aUQlHxL (12 tekens) komen, of zelfs ISM/RMXR3 (9 tekens).
Wat moet ik doen?
In augustus 2022 werd het volgende gezegd: “Als je sommige of al je wachtwoorden wilt veranderen, gaan we je niet ompraten. [Maar we denken niet dat je je wachtwoorden moet veranderen. (Voor wat het waard is, LastPass vindt dat ook niet.)”
Dat was gebaseerd op de beweringen van LastPass, niet alleen dat opgeslagen wachtwoordkluizen versleuteld waren met wachtwoorden die alleen u kent, maar ook dat die wachtwoordkluizen toch niet werden geopend.
Gezien de verandering in het verhaal van LastPass op basis van wat het sindsdien heeft ontdekt, stellen we nu voor dat u uw wachtwoorden wijzigt als u dat redelijkerwijs kunt.
Merk op dat u de wachtwoorden moet wijzigen die in uw kluis zijn opgeslagen, evenals het hoofdwachtwoord voor de kluis zelf.
Dat is zodat zelfs als de oplichters in de toekomst uw oude hoofdwachtwoord kraken, de voorraad wachtwoordgegevens die zij in uw oude kluis zullen vinden, oudbakken en dus nutteloos zullen zijn – zoals een verborgen piratenkist vol oude bankbiljetten die geen wettig betaalmiddel meer zijn.
U moet echter eerst uw hoofdwachtwoord wijzigen, voordat u de wachtwoorden in de kluis wijzigt, om te voorkomen dat oplichters die uw oude hoofdwachtwoord al hebben achterhaald, de nieuwe wachtwoorden in uw bijgewerkte kluis kunnen zien.
