LastPass claimt zelf misbruikwaarschuwingen te genereren

Nader onderzoek naar mogelijke hackerinbreuken op LastPass-accounts via zogenaamde "credential stuffing" bracht aan het licht dat LastPass een beetje voorbarig was met zijn conclusie. De systemen van LastPass hebben zelf de waarschuwingen gegenereerd.

De controverse rond mogelijke hacks van LastPass-accounts door derden heeft onverwacht een nieuwe wending genomen. Waar het bedrijf aanvankelijk aangaf dat de opkomst van het aantal inbreukmeldingen mogelijk de oorzaak was van het gebruik van zogenaamde 'credential stuffing' door hackers, werd later een heel andere oorzaak ontdekt.

Oorzaak in eigen systemen

Uit nader onderzoek blijkt, volgens een uitgebreidere versie van de verklaring van LastPass, dat de e-mails met beveiligingswaarschuwingen zijn gegenereerd door de eigen systemen van LastPass. Deze waarschuwingen werden vervolgens verzonden naar een beperkte subset van LastPass-gebruikers.

LastPass bevestigt nu dat deze beveiligingswaarschuwingen zijn veroorzaakt door een fout. In de verklaring wordt echter niet vermeld waarom dit is gebeurd. In ieder geval heeft LastPass nu zijn systemen voor het verzenden van beveiligingswaarschuwingen aangepast, zodat herhaling niet meer mogelijk is.

Sommige gebruikers zijn nog steeds sceptisch

Of dit LastPass-gebruikers zal overtuigen, valt nog te bezien. Uit berichten op sociale media meerdere eindgebruikers hebben nog hun twijfels. Ze hebben ook problemen met het herstellen van hun accounts.