Voor onze klanten:
Hierbij stel ik u op de hoogte van belangrijke nieuwe informatie over het beveiligingsincident waar we u op 22 december 2022 een bericht over hebben gestuurd.We hebben nu ons uitgebreide onderzoek naar dit incident afgerond. Sinds 26 oktober 2022 hebben we geen nieuwe ongeoorloofde activiteiten gedetecteerd.
Gedurende ons onderzoek zijn we veel te weten gekomen over wat er precies is gebeurd. Vandaag delen we de nieuwe uitkomsten met u. Parallel met het onderzoek hebben we veel tijd en moeite gestoken in de versterking van onze beveiliging en hebben we onze algehele veiligheidsactiviteiten verder verbeterd. In deze update licht ik deze maatregelen toe en geef ik aan welke extra stappen er worden genomen.
Deze update is als volgt opgebouwd:
- Wat is er gebeurd en wat hebben we gedaan?
- Welke gegevens zijn bemachtigd?
- Welke acties moet u nemen om uzelf of uw bedrijf te beveiligen?
- Wat hebben we gedaan om LastPass te beveiligen?
- Wat kunt u van ons verwachten?
- De ontwikkelingsomgeving verwijderd en opnieuw opgebouwd, om volledige beheersing en uitbanning zeker te stellen.
- Extra veiligheidstechnologieën en controlemechanismen uitgerold als aanvulling op bestaande methoden.
- Alle relevante geheimen in gewone tekst en alle blootgestelde certificaten die ons team gebruikt, vernieuwd.
- De middelen van LastPass voor opslag in de cloud geanalyseerd en extra beveiligingsbeleid en controlemechanismen toegepast.
- Bestaande toegangscontroles voor uitgebreide toegang geanalyseerd en aangepast.
- Relevante geheimen en certificaten vervangen die zijn verkregen door de dader.
- On-demand cloud-based ontwikkelings- en broncodearchieven – dit omvatte 14 van de 200 archieven.
- Interne scripts van de archieven – met LastPass-geheimen en certificaten.
- Interne documentatie – technische gegevens die beschreven hoe de ontwikkelingsomgeving werkte.
- DevOps-geheimen – geheimen die zijn gebruikt om toegang te verkrijgen tot de opslag van back-ups in de cloud.
- Opslag van back-ups in de cloud – deze bevatten configuratiegegevens, API-geheimen, integratiegeheimen voor integraties met software van derden, metagegevens van klanten en back-ups van alle klantgegevens in kluizen. Alle gevoelige gegevens in kluizen van klanten, behalve URL's, bestandspaden voor geïnstalleerde LastPass Windows- of macOS-software en bepaalde use cases met betrekking tot e-mailadressen, zijn versleuteld met ons beveiligingsmodel op basis van zero knowledge. Ze kunnen uitsluitend worden ontsleuteld met een unieke sleutel, die wordt afgeleid van het hoofdwachtwoord van iedere gebruiker. De hoofdwachtwoorden van eindgebruikers zijn nooit bekend bij LastPass en worden niet door LastPass opgeslagen of onderhouden. Daarom konden ze ook niet worden gestolen.
- Back-up van de LastPass MFA/Federatiedatabase – bevatte kopieën van de LastPass Authenticator-seeds, telefoonnummers die worden gebruikt voor de MFA-back-upmogelijkheid (indien ingeschakeld), en een gedeelde kenniscomponent (de K2-“sleutel”) die wordt gebruikt voor federatie van LastPass (indien ingeschakeld). Deze database was versleuteld, maar de apart opgeslagen sleutel maakte onderdeel uit van de geheimen die de dader bij het tweede incident heeft gestolen.
- Beveiligingsbericht: Aanbevolen acties voor gebruikers van LastPass Free, Premium en Families. Dit bericht biedt gebruikers van Free, Premium en Families een overzicht van belangrijke LastPass-instellingen die zijn ontworpen om hun account veilig te houden, door te controleren dat ze beste praktijken volgen.
- Beveiligingsbericht: Aanbevolen acties voor beheerders van LastPass Business. Dit bericht ondersteunt beheerders van Business en Teams bij een risicobeoordeling van hun LastPass-accountconfiguratie en integraties met derden en bevat informatie die relevant is voor zowel federatieve als niet-federatieve klanten.