Paswoordmanager LastPass heeft voor de tweede keer in enkele maanden tijd af te rekenen met een veiligheidsincident. In tegenstelling tot de eerste aanval zijn nu wel klantengegevens buit gemaakt.
LastPass schrijft in een blogpost dat het een beveiligingsincident onderzoekt, het tweede al dit jaar. In augustus drongen hackers binnen in de systemen van paswoordmanager LastPass en stalen broncode en gepatenteerde software-informatie. Die gestolen informatie ligt meteen aan de basis van de tweede aanval. “Via gestolen gegevens heeft een ongeautoriseerde partij zich toegang verschaft tot onze systemen”, aldus CEO Karim Toubba.
Klantengegevens
De hacker brak in op een third-party cloud service, die is gedeeld door LastPass en moederbedrijf GoTo. Volgens Toubba is de aanvaller tot bij klantengegevens geraakt. Al zegt de CEO er niet bij om welke gegevens het precies gaat. “We werken hard om zicht te krijgen op de grootte van het incident en om te determineren bij welke informatie de hacker in geraakt.”
De klanten van LastPass hoeven zich in geen geval zorgen te maken over hun paswoorden. In augustus zei de topman dat “ons systeemdesign en het beheer verhinderen dat een aanvaller toegang krijgt tot klantengegevens of versleutelde paswoordkluizen.” In de blog op woensdag verzekerde Toubba dat de paswoorden ook nu veilig versleuteld blijven.
Moederbedrijf GoTo
Moederbedrijf GoTo, het voormalige LogMeIn, nam in 2015 LastPass over. In een vaag communiqué schrijft CEO Paddy Srinivasan dat het bedrijf de inbreuk onderzoekt. “Vanaf het moment dat we lucht kregen van het incident, hebben we securityfirma Mandiant en de wetgevende autoriteiten verwittigd. Op basis van wat we nu weten blijkt dat een third-party cloudopslag is aangetast. Het klopt dat zowel GoTo als LastPass gebruik maken van die cloud.”
Volgens Srinivasan hoeven GoTo -klanten zich geen zorgen te maken. “Onze producten en diensten blijven operationeel en wij blijven ons inzetten voor onze klanten. Zo blijven we continue onze beveiligingsmaatregelen bijschaven en implementeren we verbeterde bewakingsmogelijkheden. Op die manier zorgen we ervoor dat we bedreigingen snel kunnen detecteren en voorkomen”, besluit Srinivasan.