Het is nog geen jaar geleden dat belangrijke data uit internetkluis LastPass gejat werden door hackers. Een pijnlijk gebeuren, maar ondertussen heeft het bedrijf weinig van zich laten horen. Ook zijn er niet veel maatregelen genomen om gebruikers in te lichten over het lek, zo stellen onderzoekers. En een toponderzoeker is daar bijzonder verbolgen over.
Lees verder na de advertentie.
LastPass-data ligt nog steeds op straat en er gebeurt niets
De dienst LastPass is een van de meest fenomenale kluizen als het gaat om wachtwoordbescherming. Maar ook zo’n gerenommeerd bedrijf kan wel eens in de fout gaan. Zo geschiedde dus ook bij het bedrijf dat vorig jaar werd aangevallen. Wachtwoorden werden nog steeds enigszins veilig gesteld, maar websites en metadata niet.
Onderzoeker en Adblock Plus-ontwikkelaar Wladimir Palant stipt dan ook aan dat LastPass rommelig met het lek is omgegaan. Het zou maanden hebben geduurd om gebruikers op de hoogte te brengen, of tips te geven om hun waardevolle data zeker te stellen.
De ernst van de aanval zou volgens Palant ook terzijde zijn geschoven en zijn er technische problemen die LastPass heeft genegeerd. Niet heel charmant voor een bedrijf dat onze sleutels in handen heeft.
Het pijnlijke is ook dat LastPass laat heeft gereageerd. Voor het bewaken van de data is er een zogenoemde ‘iteration count’. Hoe hoger deze waarde is, hoe moeilijker het is om een digitale kluis te kraken. LastPass heeft nu een ‘iteration count’ van 600.000, maar die stond toentertijd op 100.100. Een kluis kraken kon dus zes keer sneller.
Volgens Palant lijkt het erop dat bij bestaande accounts met de standaardinstellingen de waarden niet automatisch zijn bijgewerkt door LastPass. LastPass heeft in een verklaring aan IT-journalist Brian Krebs toegegeven dat “een klein percentage” van de gebruikers niet automatisch kon upgraden naar de nieuwe instellingen vanwege “beschadigde items” in hun wachtwoordkluis. “Ik kan echt niet verklaren waarom LastPass de beveiligingsinstellingen van bestaande accounts niet wilde aanpassen. “Toen ik ze erover aansprak, hebben ze keihard tegen me gelogen”, aldus Palant.
Palant krijgt in zijn kritiek bijval van Nicholas Weaver, onderzoeker aan het International Computer Science Institute van de University of California, op Security.nl. “En nu leggen ze de schuld bij gebruikers die een langere passphrase hadden moeten gebruiken, in plaats van dat ze zwakke standaardinstellingen hebben die nooit voor bestaande gebruikers zijn aangepast”, aldus Weaver.
“LastPass staat voor mij net boven slangenolie. Ik vond altijd dat je elke wachtwoordmanager kon gebruiken, maar dat is nu elke wachtwoordmanager behalve LastPass”.
Reacties
Inloggen of registreren
om een reactie achter te laten