LastPass claimt zelf misbruikwaarschuwingen te genereren

Nader onderzoek naar mogelijke hacker-inbreuken op LastPass-accounts via zogenaamde “legitimatie vulling” onthulde dat LastPass een beetje voorbarig was in zijn conclusie. LastPass’ systemen hebben zelf de waarschuwingen gegenereerd.

De controverse rond mogelijke hacks van LastPass-accounts door derden heeft onverwacht een nieuwe wending genomen. Hoewel het bedrijf aanvankelijk aangaf dat de opkomst van het aantal inbreukmeldingen mogelijk de oorzaak was van hackers die zogenaamde 'credential stuffing' gebruikten, een heel andere oorzaak werd later ontdekt.

Oorzaak in eigen systemen

Verder onderzoek, volgens een uitgebreidere versie van LastPass’ stelling, laat zien dat de e-mails met beveiligingswaarschuwingen zijn gegenereerd door LastPass’ eigen systemen. Deze waarschuwingen werden vervolgens verzonden naar een beperkte subset van LastPass-gebruikers.

LastPass bevestigt nu dat deze beveiligingswaarschuwingen zijn gemaakt door een fout. Echter, in de verklaring staat niet waarom dit is gebeurd. In elk geval, LastPass heeft nu zijn systemen voor het verzenden van beveiligingswaarschuwingen aangepast, zodat herhaling niet langer mogelijk is.

Sommige gebruikers zijn nog steeds sceptisch

Of dit LastPass-gebruikers zal overtuigen, valt nog te bezien. Uit berichten op sociale media meerdere eindgebruikers twijfelen nog. Ze hebben ook problemen met het herstellen van hun accounts.