Als bedrijf wil je succesvol zijn. Groeien. Naamsbekendheid. En wanneer het harde werken zijn vruchten heeft afgeworpen en de ambities zijn waargemaakt, ben je trots. Maar ook kwetsbaar. Want succesvolle organisaties staan meer in de belangstelling. Niet alleen bij het publiek, óók bij hackers. Dit heeft wachtwoordbeheerder LastPass onder andere ervaren.
Wat ging er fout bij LastPass hack?
LastPass is een succesvolle Cloud-based password manager voor particulieren en organisaties. De applicatie wordt gebruikt door meer dan 30 miljoen mensen.
Een belangrijk uitgangspunt in de ICT-wereld is dat je altijd het risico loopt gehackt te worden. Het minste dat je kunt doen is het hackers zo moeilijk mogelijk maken. Maar het lijkt erop dat LastPass dit was vergeten. Wat ging er fout?
Een korte situatieschets van de LastPass hack
In augustus 2022 ontdekte LastPass verdachte activiteiten in hun systeem. Ze waren gehackt. Er werd direct een onderzoek gestart. Na een hack is het namelijk belangrijk om inzicht te krijgen in de volgende zaken:
- wat er is gebeurd?
- wat is de omvang van de hack?
- welke gevolgen heeft de hack voor gebruikers?
- welke vervolgacties zijn noodzakelijk?
Uit het onderzoek van LastPass bleek dat de hackers via een account van een van de developers bij de productiedata waren gekomen. LastPass zei in eerste instantie dat data van gebruikers veilig waren. Deze data waren immers versleuteld.
In de maanden na de hack gaven ze stukje bij beetje informatie vrij. Tot uiteindelijk eind november 2022 de aap uit de mouw kwam: naast versleutelde data was er óók onversleutelde data gestolen uit een back-up omgeving.
Voor de gebruikers was niet duidelijk welke gegevens versleuteld waren en welke niet. Was bijvoorbeeld het creditcardnummer niet versleuteld maar het bijbehorende wachtwoord wel?
LastPass bleef zuinig met het verstrekken van informatie. Volgens hen konden de hackers vrij weinig tot niks met de onversleutelde data, want het betrof onbelangrijke data. Met dit statement ging LastPass opnieuw de fout in. Het is zo dat hackers met informatiekruimels al best veel kunnen. Doordat ze de data in de eigen omgeving opslaan, kunnen ze onbeperkt proberen om codes te kraken. Stel dat hackers weten dat je bij LastPass wachtwoorden hebt opgeslagen voor website X, dan hebben ze al een flinke informatiekruimel. LastPass is dus niet in staat om te voorspellen wat hackers met de gestolen data zullen doen. Dat blijft gissen.
Wat kan jij leren van de LastPass hack?
Er zijn diverse te leren lessen van de LastPass hack
- Of je nou aanbieder of afnemer van een bepaalde dienstverlening bent, er bestaat altijd een kans dat je wordt gehackt. Het enige dat je kunt doen is het hackers zo moeilijk mogelijk maken. Gebruik bijvoorbeeld lange en complexe wachtwoorden én unieke wachtwoorden. Je geeft hackers een heleboel informatiekruimels als je hetzelfde wachtwoord koppelt aan meerdere accounts. We kunnen dit niet vaak genoeg herhalen!
- Krijg je onverhoopt te maken met een hack? Zorg dat je een goede procedure hebt klaarstaan hoe je zo adequaat mogelijk met zo´n lastige situatie om kunt gaan. Denk bijvoorbeeld aan welke informatie je wél en niet met het publiek deelt. De communicatieafdeling van LastPass heeft enorm gefaald in de informatievoorziening. Ze lieten gebruikers ruim drie maanden in het ongewisse over de mogelijke risico´s. Het is belangrijk vanaf het begin af aan hier helder over te zijn.
- Houd er rekening mee dat als een van jouw leveranciers is gehackt, je alle wachtwoorden direct dient te veranderen. Als je als organisatie meer dan duizend wachtwoorden hebt, kan dit een flinke onderneming zijn. Zorg dat je als gebruiker een draaiboek hiervoor hebt.
- Maak altijd een goede afweging of je een bepaalde dienstverlening inkoopt of zelf installeert. En wat de voor- en nadelen zijn op het gebied van veiligheid en gebruiksvriendelijkheid.
- Stel regelmatig de vraag: hoe goed zijn onze accounts beveiligd? Is multifactorauthenticatie voldoende of is het verstandig om voor bepaalde data een derde en vierde factor in te stellen?
- Terugkomend op LastPass, zij hebben enorm gefaald in het beveiligen van de data van gebruikers. Het is onacceptabel om onversleutelde data op te slaan. Vooral voor een bedrijf dat verantwoordelijk is voor het wachtwoordbeheer van miljoenen mensen en organisaties. Zo zie je maar weer, veilig groeien als bedrijf is een kunst.
Begin vandaag met het goed beveiligen van jouw data. Wacht niet later. Want dan kan het te laat zijn. En loopt de reputatie die je zo zorgvuldig hebt opgebouwd schade op. Solid IT Solutions hecht veel waarde aan het goed beveiligen van jouw data. Dit doen we op een eenvoudige maar effectieve manier. Wil je een goed gesprek voeren over dataveiligheid? Neem contact op of mail naar info@soliditsolutions.nl.
Of ben je benieuwd naar de strategie om jouw bedrijfsdata wél veilig te stellen? Download dan ons whitepaper.