Melding van een recent beveiligingsincident

Update van donderdag 22 december 2022 Aan onze LastPass-community, We hebben u onlangs laten weten dat een onbevoegde partij toegang heeft gekregen tot een cloudgebaseerde opslagdienst van een derde partij, die LastPass gebruikt om gearchiveerde back-ups van onze productiegegevens op te slaan. In overeenstemming met ons streven naar transparantie willen wij u bij dezen op de hoogte houden over het lopende onderzoek hieromtrent. Wat we te weten zijn gekomen Op basis van ons onderzoek tot nu toe is aan het licht gekomen dat een onbekende kwaadaardige persoon of organisatie zich toegang heeft verschaft tot een cloudgebaseerde opslagomgeving, met behulp van informatie die is verkregen uit een incident dat we in augustus 2022 bekend hebben gemaakt. Tijdens het incident van augustus 2022 is er geen toegang tot klantgegevens verkregen, maar werden wel enkele broncodes en technische informatie uit onze ontwikkelomgeving gestolen die zijn gebruikt om een andere medewerker te benaderen. Hierbij zijn aanmeldingsgegevens en sleutels verkregen die zijn gebruikt om enkele opslagvolumes binnen de cloudgebaseerde opslagdienst te openen en ontsleutelen. De productiediensten van LastPass werken momenteel vanuit datacenters op locatie, met cloudgebaseerde opslag die wordt gebruikt voor verschillende doeleinden, zoals het opslaan van back-ups en om te voldoen aan vereisten voor regionale gegevensopslag. De cloudopslagdienst waartoe de dader toegang heeft verkregen, is fysiek gescheiden van onze productieomgeving. Tot nu toe hebben we het volgende vastgesteld: toen de toegangssleutel voor de cloudopslag en de dubbele ontcijferingssleutels voor de opslagcontainer waren verkregen, is er informatie van de back-up gekopieerd. Deze bevatte basisgegevens over klantenaccounts en gerelateerde metadata, waaronder bedrijfsnamen, namen van eindgebruikers, factuuradressen, e-mailadressen, telefoonnummers en de IP-adressen van waaruit klanten toegang kregen tot de LastPass-service. De dader was ook in staat om een back-up van de kluisgegevens van klanten te kopiëren vanuit de versleutelde opslagcontainer, die is opgeslagen in een eigen binair formaat dat zowel onversleutelde gegevens bevat, zoals website-URL's, als volledig versleutelde gevoelige velden, zoals gebruikersnamen en wachtwoorden voor websites, beveiligde notities en gegevens die op formulieren zijn ingevuld. Deze versleutelde velden blijven beveiligd met 256-bits AES-codering en kunnen alleen worden ontsleuteld met een unieke coderingssleutel, die is afgeleid van het hoofdwachtwoord van elke gebruiker met behulp van onze zero knowledge-architectuur. Zoals u weet zijn hoofdwachtwoorden nooit bekend bij LastPass, en worden ze op geen enkele manier opgeslagen of onderhouden door LastPass. De versleuteling en ontsleuteling van gegevens wordt alleen uitgevoerd op de lokale LastPass-client. Meer informatie over onze zero knowledge-architectuur en versleutelingsalgoritmen vindt u hier. Er zijn geen aanwijzingen dat er ongecodeerde creditcardgegevens zijn bemachtigd. LastPass slaat geen volledige creditcardnummers op, en creditcardinformatie wordt niet gearchiveerd in deze cloudopslagomgeving. Wat betekent dit voor u? Zijn uw gegevens in gevaar? De dader kan proberen met een agressieve aanval uw hoofdwachtwoord te raden en de kopieën van de kluisgegevens die hij heeft verkregen te ontsleutelen. Vanwege de hashing- en encryptiemethoden die wij gebruiken om onze klantgegevens te beschermen, is het echter vrijwel onmogelijk om de hoofdwachtwoorden te raden, zolang klanten onze best practices op het gebied van wachtwoordbeheer volgen. Wij testen regelmatig de nieuwste technologieën voor het kraken van wachtwoorden tegen onze algoritmen, om onze cryptografische controles up-to-date te houden en te verbeteren. U kunt als klant ook benaderd worden met phishing-aanvallen, credential stuffing, of andere agressieve aanvallen op online accounts die zijn gekoppeld aan uw LastPass-kluis. Om u te beschermen tegen social engineering en phishing, is het belangrijk om te weten dat LastPass u nooit zal bellen, e-mailen of sms'en en u nooit zal vragen om op een link te klikken om uw persoonlijke gegevens te verifiëren. Behalve bij het aanmelden bij uw kluis vanuit een LastPass-client, zal LastPass u nooit om uw hoofdwachtwoord vragen. Wat moeten klanten van LastPass doen? Ten eerste herinneren wij u aan u de standaard hoofdwachtwoordinstellingen en best practices van LastPass:

• Sinds 2018 vereisen we een minimum van twaalf tekens voor hoofdwachtwoorden. Hierdoor hebben agressieve aanvallen om wachtwoorden te raden aanzienlijk minder kans van slagen.
• Om de veiligheid van uw hoofdwachtwoord nog meer te verbeteren, gebruikt LastPass een sterker dan gebruikelijke implementatie van 100.100 iteraties van de 'Password-Based Key Derivation Function' (PBKDF2), een wachtwoordversterkend algoritme dat het moeilijker maakt om uw hoofdwachtwoord te raden. U kunt het huidige aantal PBKDF2-iteraties voor uw LastPass-account hier
• Wij raden u ook aan uw hoofdwachtwoord nooit te hergebruiken op andere websites. Als u uw hoofdwachtwoord opnieuw gebruikt terwijl dat wachtwoord ooit is gecompromitteerd, kunnen lijsten van gecompromitteerde aanmeldingsgegevens die al beschikbaar zijn op internet, gebruikt worden om te proberen toegang te krijgen tot uw account (dit wordt een 'credential stuffing'-aanval genoemd).

Als u de bovenstaande standaardinstellingen gebruikt, zou het met de algemeen beschikbare technologie om wachtwoorden te kraken, miljoenen jaren duren om uw hoofdwachtwoord te raden. Uw gevoelige kluisgegevens, zoals gebruikersnamen en wachtwoorden, beveiligde notities, bijlagen en opgeslagen gegevens voor invulvelden, blijven veilig versleuteld op basis van de zero knowledge-architectuur van LastPass. U hoeft op dit moment geen actie te ondernemen. Het is echter belangrijk om na te gaan of uw hoofdwachtwoord voldoet aan de bovenstaande vuistregels. Als dit niet het geval is, hebben hackers namelijk veel minder pogingen nodig om uw hoofdwachtwoord te raden met een agressieve aanval. Als extra veiligheidsmaatregel is het dan aan te raden om de wachtwoorden van websites die u hebt opgeslagen, te wijzigen. Voor Business-klanten die LastPass-services voor federatieve aanmelding (Federated Login Services) hebben geïmplementeerd, handhaaft LastPass onze zero knowledge-architectuur en wordt een verborgen hoofdwachtwoord geïmplementeerd om uw kluisgegevens te versleutelen. Afhankelijk van het gekozen implementatiemodel, is dit verborgen hoofdwachtwoord eigenlijk een combinatie van twee of meer afzonderlijk opgeslagen, 256-bits of 32 tekens lange cryptografisch gegenereerde willekeurige strings, die specifiek moeten worden gecombineerd om te gebruiken (u kunt hier meer lezen over deze techniek in onze technische whitepaper). De dader heeft geen toegang gehad tot de sleutelfragmenten die zijn opgeslagen in de infrastructuur van de identityprovider van de klant of van LastPass. Deze maken ook geen onderdeel uit van de gekopieerde back-ups die de kluizen van de klant bevatten. Als u services voor federatieve aanmelding hebt geïmplementeerd, is er dus geen extra actie vereist. Het is echter belangrijk op te merken dat als u een Business-gebruiker bent die géén gebruik maakt van services voor federatieve aanmelding, en uw hoofdwachtwoord ook niet voldoet aan de bovenstaande vuistregels, het risico dat uw hoofdwachtwoord kan worden geraden met een agressieve aanval aanzienlijk groter is. Als extra veiligheidsmaatregel is het dan aan te raden om de wachtwoorden van websites die u hebt opgeslagen, te wijzigen. Wat we eraan doen, en wat we al hebben gedaan Als reactie op het incident van augustus 2022 hebben we elke verdere potentiële toegang tot de LastPass-ontwikkelomgeving al geëlimineerd, door die omgeving volledig te ontmantelen, en een volledig nieuwe omgeving op te bouwen. Ook hebben we de machines van ontwikkelaars, onze processen, en authenticatiemechanismen vervangen en versterkt. We hebben extra log- en waarschuwingsfunctionaliteit toegevoegd om verdere ongeoorloofde activiteiten te helpen detecteren, waaronder een tweede beveiligingslaag in samenwerking met een toonaangevende leverancier van beheerde-eindpuntdetectie en -respons, als aanvulling op ons eigen team. We zijn ook doorgegaan met de uitvoering van onze plannen om een nieuwe, volledig toepassingsgerichte set van LastPass-omgevingen voor ontwikkeling en productie te implementeren. Als reactie op dit meest recente incident roteren wij actief alle relevante aanmeldingsgegevens en certificaten die mogelijk zijn aangetast, en vullen we de bestaande eindpuntbeveiliging aan. We voeren ook een uitgebreide analyse uit op elke account met mogelijk verdachte activiteiten binnen onze cloudopslagdienst, treffen extra beveiligingsmaatregelen binnen deze omgeving, en analyseren ook alle afzonderlijke gegevens binnen deze omgeving, zodat we volledig in kaart kunnen brengen waartoe de dader toegang heeft gehad. Wij hebben reeds een klein deel (minder dan 3%) van onze Business-klanten op de hoogte gebracht om hen aan te bevelen bepaalde acties te ondernemen op basis van hun specifieke accountconfiguraties.  Als u een Business-klant bent, en er is nog geen contact met u opgenomen om actie te ondernemen, dan hoeft u op dit moment niets te doen. We gaan door met ons onderzoek. Voor de zekerheid hebben wij rechtshandhaving en de relevante regelgevende instanties van dit incident op de hoogte gebracht. We zullen u op de hoogte blijven houden van onze bevindingen, van de maatregelen die wij treffen, en van de maatregelen die u eventueel kunt treffen. Ondertussen draaien onze diensten zoals gebruikelijk, terwijl we in verhoogde staat van paraatheid blijven. Wij danken u voor uw aanhoudende steun en geduld terwijl wij dit incident verder onderzoeken. Karim Toubba CEO van LastPass   Update van woensdag 30 november 2022  Aan alle klanten van LastPass, LastPass belooft transparantie. Daarom wil ik u op de hoogte stellen van een beveiligingsincident dat ons team momenteel onderzoekt. Onlangs hebben we ongebruikelijke activiteiten gedetecteerd binnen een externe dienst voor opslag in de cloud, die momenteel wordt gedeeld door LastPass en ons zusterbedrijf GoTo. We hebben direct een onderzoek gestart en hebben Mandiant ingeschakeld, een toonaangevend beveiligingsbedrijf. Ook hebben we een melding gemaakt bij de politie. We hebben bepaald dat een ongeautoriseerde partij met behulp van informatie die is verkregen in het incident van augustus 2022 toegang heeft kunnen krijgen tot bepaalde elementen van onze klantgegevens. Door de beveiligingsarchitectuur van LastPass op basis van zero knowledge blijven de wachtwoorden van onze klanten veilig versleuteld. We werken er hard aan om na te gaan hoe ver dit incident reikt, en om te bepalen welke specifieke informatie er is verkregen. Tegelijkertijd kunnen we bevestigen dat de producten en diensten van LastPass volledig operationeel blijven. Zoals altijd bevelen we aan dat u onze best practices volgt voor de instelling en configuratie van uw LastPass-account. U vindt een overzicht van deze bewezen praktijken op [https://blog.lastpass.com/2022/01/how-to-set-up-your-new-lastpass-account/]. In het kader van onze inspanningen blijven we versterkte beveiligingsmaatregelen en bewakingsmogelijkheden uitrollen voor onze volledige infrastructuur, die helpen om eventuele verdere ongeoorloofde activiteiten te detecteren en te voorkomen. Hartelijk bedankt voor uw geduld terwijl we dit incident onderzoeken. Zoals gewoonlijk blijven we u op de hoogte houden van nieuwe inzichten. Karim Toubba LastPass CEO Update van donderdag 15 september 2022 Aan alle klanten van LastPass, Op 25 augustus 2022 hebben we u op de hoogte gesteld van een beveiligingsincident, dat beperkt was tot de ontwikkelingsomgeving van LastPass. Hierbij is toegang verkregen tot elementen van onze broncode en technische gegevens. Ik wil ik informeren over de conclusies van ons onderzoek om openheid en gemoedsrust te geven aan onze particuliere en zakelijke gebruikers. We hebben het onderzoek en het forensische proces afgerond in samenwerking met Mandiant. Uit ons onderzoek is gebleken dat de activiteiten van de kwaadwillende partij zich hebben beperkt tot een periode van vier dagen in augustus 2022. In dit tijdsbestek kwam het beveiligingsteam van LastPass de activiteiten op het spoor en wist het het incident te beperken. Er is geen bewijs dat de kwaadwillende partij ook buiten deze periode nog actief is geweest. We kunnen ook bevestigen dat er geen enkel bewijs is dat er bij dit incident toegang is verkregen tot gegevens van klanten of versleutelde wachtwoordkluizen. We hebben ontdekt dat de kwaadwillenden toegang hebben verkregen tot onze ontwikkelomgeving via een gecompromitteerd apparaat van een ontwikkelaar. Hoewel we niet hebben kunnen bepalen hoe dit apparaat in eerste instantie gecompromitteerd is, heeft de kwaadwillende partij deze toegang gebruikt om zich voor te doen als onze ontwikkelaar, nadat deze zich met meervoudige verificatie had aangemeld. De kwaadwillende partij heeft weliswaar toegang gekregen tot onze omgeving voor ontwikkelaars, maar door het ontwerp en de controlemechanismen van ons systeem is er geen toegang verkregen tot gegevens van klanten of versleutelde wachtwoordkluizen. Ten eerste is de LastPass-omgeving voor ontwikkelaars fysiek afgezonderd van onze productie-omgeving. Er zijn geen directe verbindingen tussen de beide omgevingen. Ten tweede bevat onze ontwikkelomgeving geen klantgegevens of versleutelde kluizen. Ten derde heeft LastPass zelf nooit de beschikking over hoofdwachtwoorden of kluizen van onze klanten. Dit is het basisprincipe van ons beveiligingsmodel op basis van “zero knowledge”: wij slaan uw wachtwoord niet op, dus kan het ook niet van ons gestolen worden. Zonder hoofdwachtwoord is het niet mogelijk om de gegevens van een kluis te ontsleutelen. Alleen de eigenaar van de kluis heeft hier toegang toe. Om de integriteit van onze code te bevestigen, hebben we onze broncode en productieversies geanalyseerd. We hebben geen bewijzen gevonden van pogingen tot sabotage of toevoegingen van ongeoorloofde code. Onze ontwikkelaars kunnen geen broncode vanuit de ontwikkelomgeving naar de productie pushen. Dit kan alleen worden gedaan door een apart “Build Release Team” dat verantwoordelijk is voor het vrijgeven van nieuwe versies. Dit is alleen mogelijk na een uitgebreide beoordeling van onze softwarecode, inclusief tests en validaties. In het kader van ons beleid voor risicobeheer hebben we ook samenwerkt met een toonaangevend bedrijf op het gebied van cyberbeveiliging, om onze bestaande praktijken voor de beveiliging van onze broncode te versterken. Hierbij maken we onder andere gebruik van beveiligde processen voor de levenscyclus van softwareontwikkeling, modellen van bedreigingen, beheer van kwetsbaarheden en een beloningsprogramma voor onderzoekers die bugs opsporen. Daarnaast hebben we extra beveiligingsmaatregelen geïmplementeerd, inclusief extra controlemechanismen voor de bewaking en beveiliging van alle endpoints. We hebben bovendien aanvullende capaciteiten ingevoerd om informatie over bedreigingen te krijgen, en versterkte technologieën voor detectie en preventie. Dit geldt niet alleen voor onze ontwikkelomgeving, maar ook voor onze productieomgeving. We wilden u hiervan zo snel mogelijk op de hoogte stellen om ons met nog meer commitment in te zetten voor de beveiliging van de gegevens die u aan ons toevertrouwt. We weten dat dit soort beveiligingsincidenten onzekerheid veroorzaken. Maar we verzekeren u dat uw persoonlijke gegevens en wachtwoorden bij ons in goede handen zijn. Hartelijk dank voor uw ononderbroken vertrouwen en uw steun. Karim Toubba CEO van LastPass   Oorspronkelijke bericht van 25 augustus 2022 Aan alle klanten van LastPass, Ik wil u informeren over een incident. Het is belangrijk voor ons om dit soort informatie open te delen met al onze gebruikers, zowel zakelijke klanten als particuliere LastPass-gebruikers. Twee weken geleden hebben we ongebruikelijke activiteiten gedetecteerd in een deel van onze LastPass-omgeving voor ontwikkelaars. We hebben deze activiteiten onmiddellijk diepgaand onderzocht en er zijn geen bewijzen dat iemand bij dit incident toegang heeft verkregen tot klantgegevens of versleutelde kluizen. We hebben achterhaald dat een ongeoorloofde partij toegang heeft gekregen tot delen van onze omgeving voor ontwikkelaars, via één ontwikkelaarsaccount dat gelekt was. De hackers hebben delen van onze broncode en enkele intellectuele eigendommen van LastPass gekopieerd. Onze producten en diensten werken normaal. Als reactie op dit incident hebben we maatregelen genomen om de schade te beperken en risico's af te schermen. Daarnaast hebben we een toonaangevende firma op het gebied van forensische cyberbeveiliging ingeschakeld. Ons onderzoek loopt nog, maar we hebben het lek gedicht en extra versterkte beveiligingsmaatregelen ingevoerd. We zien geen verder bewijs van ongeoorloofde activiteiten meer. Op basis van deze maatregelen en wat we hiervan hebben geleerd, beoordelen we verdere technieken om risico's tegen te gaan en onze omgeving te versterken. Hieronder hebben we een korte lijst opgesteld met de vragen die u wellicht heeft, en gaan we in op mogelijke zorgen. Als er verdere ontwikkelingen zijn, houden we u hiervan natuurlijk op de hoogte. Hartelijk dank voor uw geduld, begrip en ononderbroken steun. Karim Toubba CEO van LastPass  

Vragen over dit incident

1. Is mijn hoofdwachtwoord in gevaar, of bestaat er een risico voor de wachtwoorden van mijn gebruikers?

Nee, uw hoofdwachtwoord is bij dit incident niet in gevaar geweest. We kennen uw hoofdwachtwoord niet en kunnen het daarom ook niet opslaan. We gebruiken een systeemarchitectuur op basis van “zero knowledge”, die ervoor zorgt dat LastPass nooit kennis heeft van de hoofdwachtwoorden van onze gebruikers. HIER kunt u meer lezen over de technische implementatie van dit beveiligingsmodel.

2. Zijn er gegevens in mijn kluis of in de kluizen van mijn gebruikers in gevaar geweest?

Nee. Dit incident is beperkt gebleven tot onze aparte omgeving voor softwareontwikkeling. Uit ons onderzoek is niet gebleken dat onbevoegden toegang hebben gekregen tot versleutelde gegevens in een kluis. Ons beveiligingsmodel op basis van “zero knowledge ” zorgt ervoor dat alleen onze klanten toegang kunnen krijgen tot ontsleutelde gegevens in hun kluis.

3. Is er een risico voor persoonlijke gegevens die zijn opgeslagen in LastPass?

Nee. Uit ons onderzoek is niet gebleken dat onbevoegden toegang hebben gekregen tot gegevens van klanten in onze productieomgeving.

4. Wat moet ik doen om mezelf en de gegevens in mijn kluis te beschermen?

Op dit moment hoeven onze gebruikers en LastPass-beheerders niets te doen. Zoals altijd bevelen we aan dat u onze best practices volgt voor de instelling en configuratie van uw LastPass-account. U vindt een overzicht van deze bewezen praktijken op https://blog.lastpass.com/2022/01/how-to-set-up-your-new-lastpass-account/

5. Waar vind ik meer informatie?

We blijven u op de hoogte houden van eventuele verdere ontwikkelingen.