Wachtwoordmanager LastPass wordt aangevallen door hackers. De afgelopen dagen zijn er verschillende pogingen gedaan om met hoofdwachtwoorden in te breken in de digitale kluizen van eindgebruikers. Volgens de wachtwoordbeheerder gaat het om zogenaamde 'credential stuffing'.
Onlangs klaagden eindgebruikers van wachtwoordmanager LastPass dat hun hoofdwachtwoorden probeerden in te breken in hun digitale kluizen met wachtwoorden. De inlogpogingen werden automatisch geblokkeerd omdat de inlogpogingen werden gedaan vanaf een onbekende locatie.
meldingen
Getroffen eindgebruikers werden op de hoogte van de inbraakpoging omdat LastPass automatisch een melding stuurde met de mededeling dat iemand toegang heeft gekregen vanaf een onbekende locatie. De inlogpogingen kwamen onder meer van een geanonimiseerde proxyserver en van IP-adressen uit Brazilië.
Vulling met referenties
LastPass is inmiddels geïnformeerd en heeft geconstateerd dat er inderdaad een kleine toename is in inlogpogingen van dit soort acties. De wachtwoordbeheerder schrijft de oorzaak van deze hackpogingen toe aan zogenaamde 'credential stuffing'. Daarbij gebruiken hackers e-mailadressen en wachtwoorden van andere inbreuken. Ze proberen dan 'toevallig' LastPass te hacken. Vooral die gebruikers die hun hoofdwachtwoord voor meerdere andere sites gebruiken, lopen een groot risico.
Nader onderzoek door de wachtwoordbeheerder leert dat er nog geen inbreuken zijn geweest. LastPass raadt het gebruik van sterke en vooral unieke wachtwoorden aan voor zijn tool.
LogMeIn-spin-off
Onlangs werd ook aangekondigd dat LastPass in 2022 een spin-off zal zijn van het moederbedrijf LogMeIn en een onafhankelijk bedrijf zal worden. Met de verzelfstandiging is de wachtwoordmanager volgens het moederbedrijf beter in staat zich verder te ontwikkelen. Dit omvat het verbeteren van de klantervaring en het verder ontwikkelen van services voor single sign-on en multi-factor authenticatie.