Blog
Meest recent
Beveiligingsnieuws

Update over beveiligingsincident met aanbevolen acties

Karim ToubbaMarch 01, 2023
Voor onze klanten: Hierbij stel ik u op de hoogte van belangrijke nieuwe informatie over het beveiligingsincident waar we u op 22 december 2022 een bericht over hebben gestuurd.We hebben nu ons uitgebreide onderzoek naar dit incident afgerond. Sinds 26 oktober 2022 hebben we geen nieuwe ongeoorloofde activiteiten gedetecteerd. Gedurende ons onderzoek zijn we veel te weten gekomen over wat er precies is gebeurd. Vandaag delen we de nieuwe uitkomsten met u. Parallel met het onderzoek hebben we veel tijd en moeite gestoken in de versterking van onze beveiliging en hebben we onze algehele veiligheidsactiviteiten verder verbeterd. In deze update licht ik deze maatregelen toe en geef ik aan welke extra stappen er worden genomen. Deze update is als volgt opgebouwd:
  • Wat is er gebeurd en wat hebben we gedaan?
  • Welke gegevens zijn bemachtigd?
  • Welke acties moet u nemen om uzelf of uw bedrijf te beveiligen?
  • Wat hebben we gedaan om LastPass te beveiligen? 
  • Wat kunt u van ons verwachten?
We hebben het grote voorrecht om voor miljoenen gebruikers en meer dan 100.000 bedrijven te werken, en we willen ervoor zorgen dat al onze klanten de informatie hebben die ze nodig hebben om hun vragen te beantwoorden.Omdat we vandaag veel informatie met u delen, hebben we dit bericht gestructureerd met samenvattingen in links om u over ieder onderwerp meer gedetailleerde informatie te geven. We hebben feedback ontvangen dat we tijdens dit volledige proces vaker en uitgebreider hadden moeten communiceren. Die feedback is bij ons aangekomen en we nemen dit serieus. Door de duur van het onderzoek moesten we compromissen sluiten, maar we begrijpen de frustratie die onze communicatie in het begin heeft veroorzaakt voor zowel bedrijven als particulieren die op onze producten vertrouwen. En dit spijt ons. Door vandaag deze extra informatie met u te delen en met onze benadering voor de toekomst, willen we dit rechtzetten en effectiever communiceren. Als u deze update liever overslaat en direct wilt weten welke acties LastPass aanbeveelt om uw account of bedrijf te beschermen, klik dan hier als particulier of hier als bedrijfsbeheerder. WAT IS ER GEBEURD EN WAT HEBBEN WE GEDAAN? De twee incidenten die we vorig jaar openbaar hebben gemaakt, hadden een uitwerking op LastPass en op onze klanten. Geen van de incidenten werd veroorzaakt door een productdefect of ongeoorloofde toegang tot of misbruik van productiesystemen van LastPass. In plaats daarvan maakte de dader gebruik van een kwetsbaarheid in externe software, omzeilde bestaande controlemechanismen en verkreeg uiteindelijk toegang tot een omgeving die niet voor productie werd gebruikt, en tot een omgeving voor opslag van back-ups. We hebben technische gegevens, aanwijzingen van inbraak en tactieken, technieken en procedures (TTP's) van de dader gedeeld met de autoriteiten en met onze partners voor monitoring van bedreigingen en forensische analyse. Tot nu toe blijven de identiteit en de motieven van de dader echter nog onbekend. Er is geen contact opgenomen en er zijn geen eisen gesteld. Er is ook geen geloofwaardige illegale activiteit waargenomen die aangeeft dat de dader actief probeert om enige informatie te aan te bieden of te verkopen die bij één van de incidenten is verkregen. Samenvatting Incident 1: De zakelijke laptop van een software-engineer werd gehackt, waardoor de dader ongeoorloofd toegang kon krijgen tot een ontwikkelingsomgeving in de cloud en zo broncode, technische gegevens en bepaalde interne systeemgeheimen van LastPass kon stelen. Bij dit incident werden geen gegevens van klanten of kluizen verkregen, want de ontwikkelingsomgeving bevat deze niet. We hebben dit incident afgesloten, maar ontdekten later dat de gegevens die bij dit eerste incident gestolen waren, werden gebruikt om doelwitten te bepalen en om het tweede incident in te leiden. Als reactie op het eerste incident hebben we ons interne beveiligingsteam opgeroepen en ook het onderzoeksbedrijf Mandiant ingeschakeld. In het kader van het proces voor beheersing, uitbanning en herstel hebben we de volgende acties genomen:
  • De ontwikkelingsomgeving verwijderd en opnieuw opgebouwd, om volledige beheersing en uitbanning zeker te stellen.
  • Extra veiligheidstechnologieën en controlemechanismen uitgerold als aanvulling op bestaande methoden.
  • Alle relevante geheimen in gewone tekst en alle blootgestelde certificaten die ons team gebruikt, vernieuwd.
Hier kunt u de details lezen van dit eerste incident en de herstelacties. Samenvatting Incident 2: De dader richtte zich op een senior DevOps-engineer door gebruik te maken van een kwetsbaarheid in externe software. De dader heeft deze kwetsbaarheid gebruikt om malware te installeren. De bestaande beveiligingsmechanismen zijn omzeild en uiteindelijk verkreeg de dader ongeoorloofde toegang tot back-upsystemen in de cloud. De gegevens in deze back-ups omvatten gegevens over systeemconfiguraties, API-geheimen, integratiegeheimen voor integraties met software van derden, en versleutelde en onversleutelde klantgegevens van LastPass. Als reactie op het tweede incident hebben we opnieuw ons team voor incidentenrespons en Mediant ingeschakeld. In het kader van het proces voor beheersing, uitbanning en herstel voor dit tweede incident, hebben we de volgende acties genomen:
  • De middelen van LastPass voor opslag in de cloud geanalyseerd en extra beveiligingsbeleid en controlemechanismen toegepast.
  • Bestaande toegangscontroles voor uitgebreide toegang geanalyseerd en aangepast.
  • Relevante geheimen en certificaten vervangen die zijn verkregen door de dader.
Hier kunt u meer details lezen over dit incident en de herstelacties. WELKE GEGEVENS ZIJN BEMACHTIGD? De samenvattingen van de incidenten geven aan dat de dader bij deze twee incidenten zowel gegevens van LastPass heeft gestolen als gegevens van klanten, waaronder: Samenvatting van gegevens verkregen bij Incident 1:
  • On-demand cloud-based ontwikkelings- en broncodearchieven – dit omvatte 14 van de 200 archieven.
  • Interne scripts van de archieven – met LastPass-geheimen en certificaten.
  • Interne documentatie – technische gegevens die beschreven hoe de ontwikkelingsomgeving werkte.
Samenvatting van gegevens verkregen bij Incident 2:
  • DevOps-geheimen – geheimen die zijn gebruikt om toegang te verkrijgen tot de opslag van back-ups in de cloud.
  • Opslag van back-ups in de cloud – deze bevatten configuratiegegevens, API-geheimen, integratiegeheimen voor integraties met software van derden, metagegevens van klanten en back-ups van alle klantgegevens in kluizen. Alle gevoelige gegevens in kluizen van klanten, behalve URL's, bestandspaden voor geïnstalleerde LastPass Windows- of macOS-software en bepaalde use cases met betrekking tot e-mailadressen, zijn versleuteld met ons beveiligingsmodel op basis van zero knowledge. Ze kunnen uitsluitend worden ontsleuteld met een unieke sleutel, die wordt afgeleid van het hoofdwachtwoord van iedere gebruiker. De hoofdwachtwoorden van eindgebruikers zijn nooit bekend bij LastPass en worden niet door LastPass opgeslagen of onderhouden. Daarom konden ze ook niet worden gestolen.
  • Back-up van de LastPass MFA/Federatiedatabase – bevatte kopieën van de LastPass Authenticator-seeds, telefoonnummers die worden gebruikt voor de MFA-back-upmogelijkheid (indien ingeschakeld), en een gedeelde kenniscomponent (de K2-“sleutel”) die wordt gebruikt voor federatie van LastPass (indien ingeschakeld). Deze database was versleuteld, maar de apart opgeslagen sleutel maakte onderdeel uit van de geheimen die de dader bij het tweede incident heeft gestolen.
Hier vindt u gedetailleerde informatie over de specifieke klantgegevens die betroffen waren bij deze incidenten. WELKE ACTIES MOET U NEMEN OM UZELF OF UW BEDRIJF TE BEVEILIGEN? We hebben twee beveiligingsberichten opgesteld om onze klanten zo goed mogelijk te ondersteunen bij hun eigen incidentbeheer. Eén bericht is voor de particuliere gebruikers van Free, Premium en Families, en één bericht is voor de zakelijke gebruikers van Business en Teams. Ieder beveiligingsbericht bevat informatie die onze klanten helpt om hun LastPass-account veilig te houden en om te reageren op deze beveiligingsincidenten op een manier die volgens ons aansluit bij hun persoonlijke behoeften of bij het beveiligingsprofiel en de omgeving van hun organisatie.
  • Beveiligingsbericht: Aanbevolen acties voor gebruikers van LastPass Free, Premium en Families. Dit bericht biedt gebruikers van Free, Premium en Families een overzicht van belangrijke LastPass-instellingen die zijn ontworpen om hun account veilig te houden, door te controleren dat ze beste praktijken volgen.
  • Beveiligingsbericht: Aanbevolen acties voor beheerders van LastPass Business. Dit bericht ondersteunt beheerders van Business en Teams bij een risicobeoordeling van hun LastPass-accountconfiguratie en integraties met derden en bevat informatie die relevant is voor zowel federatieve als niet-federatieve klanten.
Als u vragen hebt over de aanbevolen acties, neem dan contact op met onze technische ondersteuning of met uw team voor klantsucces. We helpen u graag. WAT HEBBEN WE GEDAAN OM LASTPASS TE BEVEILIGEN? Sinds augustus hebben we verschillende nieuwe beveiligingstechnologieën uitgerold voor onze infrastructuur, datacenters en cloudstructuren, om onze beveiliging verder te versterken. Deze werkzaamheden waren al van start gegaan vóór het eerste incident en veel hiervan is nu in recordtijd gepland en uitgevoerd. We hebben prioriteit gegeven aan forse investeringen in beveiliging, privacy en operationele best practices.. We hebben een uitgebreide beoordeling uitgevoerd van ons beveiligingsbeleid en wijzigingen doorgevoerd om toegang waar nodig te beperken. We hebben onze bestaande controlemechanismen en configuraties diepgaand geanalyseerde en de benodigde wijzigingen doorgevoerd om bestaande omgevingen te versterken. We zijn ook begonnen met een uitbreiding van versleuteling in onze infrastructuren voor de toepassing en back-ups. Tot slot onderzoeken we de opties voor de architectuur op de langere termijn om de ontwikkeling van het platform voor heel LastPass aan te drijven. Hier vindt u een lijst van de voltooide en lopende werkzaamheden voor onze beveiligingsroadmap. WAT KUNT U VAN ONS VERWACHTEN? Sinds ons bericht van 22 december heb ik met veel zakelijke en particuliere klanten gesproken. Ik erken hun frustraties over ons onvermogen om sneller, duidelijker en uitgebreider over deze gebeurtenis te communiceren. Deze kritiek accepteer ik en ik neem de volledige verantwoordelijkheid. We hebben veel geleerd en zullen in de toekomst effectiever communiceren. Deze update is hiervan een teken. Iets meer dan een jaar geleden kondigden GoTo en zijn investeerders aan dat LastPass een onafhankelijke bedrijf zou worden, onder leiding van een nieuw managementteam. Het doel is om het volledige potentieel van het bedrijf te ontvouwen en om de belofte waar te maken om het toonaangevende platform voor wachtwoordbeheer op enterpriseniveau te bouwen. Eind april 2022 ben ik als CEO bij LastPass gekomen om deze inspanningen te leiden. De afgelopen acht maanden hebben we nieuwe leiders ingehuurd om de groei van het bedrijf te ondersteunen en een nieuwe strategie uit te voeren. Hierbij zijn ook gerenommeerde veteranen uit de sector en leiders op het gebied van technologie en beveiliging. In het kader van onze volgende groeifase hebben we miljoenen dollars gereserveerd voor onze investeringen in beveiliging van mensen, processen en technologie. Die investering ondersteunt ons doel om van LastPass een toonaangevend bedrijf te maken op het gebied van cyberbeveiliging en om ervoor te zorgen dat we toekomstige bedreigingen kunnen afweren. Hartelijk dank voor uw begrip, advies en ononderbroken steun. Karim Toubba CEO van LastPass