Nieuw datalek bij LastPass: deze vier stappen neem je best meteen

Volgens LastPass zijn er geen wachtwoordkluizen en hoofdwachtwoorden getroffen. Toch kan de gelekte informatie criminelen helpen om geloofwaardige mails, telefoontjes of berichten op te stellen die zich voordoen als officiële communicatie van LastPass.

Het incident vond plaats bij Klue, een extern platform dat LastPass gebruikt voor marktonderzoek en koppelingen met onder meer Salesforce en Gong. Aanvallers kregen daar OAuth-tokens in handen: digitale toegangssleutels waarmee Klue gegevens tussen verschillende diensten kon uitwisselen. Met die tokens konden ze vervolgens klantinformatie uit de Salesforce-omgeving van LastPass raadplegen.

Welke gegevens zijn gelekt?

De buit bestaat volgens LastPass uit namen, e-mailadressen, telefoonnummers en fysieke adressen van klanten. Ook gegevens uit supporttickets en commerciële dossiers kunnen zijn ingezien. Dat klinkt minder ernstig dan een lek van wachtwoorden, maar het blijft gevoelige informatie. Wie weet dat je LastPass gebruikt, kan bijvoorbeeld een overtuigende phishingmail sturen met een verzoek om je account te bevestigen, een nieuw wachtwoord in te stellen of een zogezegde beveiligingsmelding te bekijken. Ook telefonische fraude ligt voor de hand wanneer aanvallers over naam, nummer en e-mailadres beschikken.

LastPass zegt dat het alle toegang van medewerkers tot Klue heeft stopgezet, de betrokken OAuth-tokens heeft vernieuwd en een onderzoek is gestart samen met Klue en Salesforce. Ook politiediensten zijn op de hoogte gebracht. Klue ontdekte de inbraak op 12 juni en onderzoekt nog hoe de aanvallers toegang konden krijgen. De aanval trof niet alleen LastPass. Ook bedrijven als Gong, Jamf, HackerOne, OneTrust, Recorded Future, Snyk, Sprout Social en Tanium zouden betrokken zijn. De afpersingsgroep Icarus eist de aanval op en dreigt de buitgemaakte gegevens openbaar te maken als Klue niet betaalt.

Zo bescherm je je account en gegevens

Voor LastPass-gebruikers is er voorlopig geen aanwijzing dat hun opgeslagen wachtwoorden zijn buitgemaakt. Toch is het verstandig om extra voorzichtig te zijn, zeker omdat LastPass in het verleden al vaker negatief in het nieuws kwam door beveiligingsincidenten.

• Controleer eerst of je hoofdwachtwoord uniek is en nergens anders wordt gebruikt. Wie hetzelfde wachtwoord ook voor een e-mailaccount, webshop of andere dienst gebruikt, doet er goed aan dat meteen te veranderen. Een uniek en sterk hoofdwachtwoord blijft de belangrijkste bescherming van je wachtwoordkluis.
• Schakel daarnaast multifactorauthenticatie in als dat nog niet gebeurd is. Daarmee kan iemand niet zomaar inloggen met alleen je hoofdwachtwoord. Een extra code via een authenticator-app of beveiligingssleutel maakt het voor aanvallers aanzienlijk moeilijker.
• Let de komende weken ook extra op berichten die zogezegd van LastPass komen. LastPass zal nooit via e-mail, sms of telefoon om je hoofdwachtwoord vragen. Klik niet zomaar op links in onverwachte berichten en controleer altijd zorgvuldig het afzenderadres.
• Tot slot is het verstandig om je belangrijke accounts regelmatig te controleren op vreemde inlogpogingen of wijzigingen. Denk daarbij niet alleen aan LastPass zelf, maar ook aan je e-mailaccount, bankapps en sociale media. Die accounts vormen vaak de interessantste doelwitten voor criminelen die met gelekte contactgegevens aan de slag gaan.

Het datalek lijkt minder zwaar dan eerdere incidenten bij LastPass, omdat de wachtwoordkluizen buiten schot bleven. Toch is de kans groot dat getroffen klanten de komende tijd meer gerichte phishingpogingen zullen zien. Wie waakzaam blijft en zijn beveiliging op orde heeft, verkleint dat risico aanzienlijk.

• Lees ook: Have I Been Pwned voegt 124 miljoen wachtwoorden toe aan datadump: check of jouw gegevens gelekt zijn