LastPass bevestigt blootstelling van klantgegevens bij supply chain-aanval op Klue

LastPass heeft een datalek bevestigd als gevolg van een supply chain-aanval op Klue, een externe leverancier. Hackers stalen OAuth-tokens uit de omgeving van Klue, waarmee ze toegang kregen tot de Salesforce-instantie van LastPass. Van daaruit konden aanvallers gegevens uit klantenservicezaken bemachtigen, waaronder namen, telefoonnummers, e-mailadressen en fysieke adressen. Het goede nieuws is, althans voorlopig, dat versleutelde wachtwoordkluizen niet lijken te zijn gecompromitteerd.

Dit is niet het eerste ernstige beveiligingsincident van LastPass. Het bedrijf kreeg in 2022 te maken met een omvangrijk datalek waarbij hackers kopieën van versleutelde wachtwoordkluizen van klanten bemachtigden. Dat incident leidde tot brede kritiek en zette een golf van gebruikers aan om over te stappen naar concurrerende wachtwoordmanagers. Dit nieuwe lek, hoewel beperkter van omvang, herinnert ons eraan dat zelfs als het kernproduct van een bedrijf veilig blijft, de omliggende infrastructuur een aanvalsvector kan worden.

Hoe een externe leverancier de zwakke schakel werd

De werking van dit lek volgt een bekend patroon bij moderne supply chain-aanvallen. Klue, een platform voor concurrentie-informatie dat door LastPass wordt gebruikt, werd als eerste gecompromitteerd. Aanvallers stalen OAuth-tokens, in wezen digitale sleutels waarmee de ene dienst zich bij een andere kan authenticeren zonder een wachtwoord nodig te hebben. Met die tokens in handen konden de aanvallers toegang krijgen tot de Salesforce-omgeving van LastPass alsof ze een legitiem, geautoriseerd systeem waren.

Dit is het fundamentele probleem met supply chain-aanvallen: je eigen beveiligingspositie kan sterk zijn, maar elke leverancier die je toegang verleent, wordt onderdeel van je aanvalsoppervlak. De diefstal van de OAuth-tokens betekende dat de verdediging van LastPass zelf grotendeels werd omzeild. De aanvaller hoefde LastPass niet rechtstreeks te kraken; ze vonden een zijdeur via een vertrouwde partner.

Voor gebruikers bestaat de directe blootstelling uit persoonlijke contactgegevens en niet uit wachtwoorden. Die gegevens zijn nog steeds waardevol voor aanvallers. Namen, telefoonnummers en e-mailadressen kunnen worden gebruikt voor phishingcampagnes, SIM-swapping-pogingen en social engineering-aanvallen die uiteindelijk kunnen leiden tot het overnemen van accounts.

Waarom wachtwoordmanagers alleen geen volledige verdediging bieden

Dit lek illustreert iets belangrijks: een wachtwoordmanager beschermt je inloggegevens, maar beschermt niet alles over jou als gebruiker. De gegevens die hier zijn blootgesteld – contactgegevens en de geschiedenis van supportzaken – bevinden zich buiten de versleutelde kluis. Deze data staat in CRM-systemen, supportticketplatforms en marketingtools die vaak zijn verbonden met tientallen externe leveranciers.

Voor privacybewuste gebruikers wijst dit op het belang van gelaagde verdediging. Twee-factor-authenticatie (2FA) is de meest directe verbetering die iedereen kan doorvoeren. Zelfs als een aanvaller je e-mailadres bemachtigt en probeert te gebruiken om elders accountreferenties te resetten, vormt 2FA een betekenisvolle barrière. Het gebruik van een authenticator-app in plaats van sms-gebaseerde 2FA is aanzienlijk sterker, omdat telefoonnummers die in dit lek zijn blootgesteld theoretisch kunnen worden gebruikt voor SIM-swap-aanvallen.

Een VPN voegt een extra laag toe door je IP-adres te maskeren en je internetverkeer op netwerkniveau te versleutelen, waardoor je blootstelling afneemt bij gebruik van openbare of onbetrouwbare netwerken waar het onderscheppen van inloggegevens makkelijker is. Let bij het beoordelen van VPN-aanbieders op onafhankelijk gecontroleerde no-logbeleidslijnen; diensten zoals CyberGhost en Surfshark hebben beide een no-logs-audit door Deloitte ondergaan, waardoor gebruikers een door derden geverifieerde basis hebben om hun privacyclaims te vertrouwen.

Het overkoepelende punt is dat gelaagde verdediging ertoe doet. Een wachtwoordmanager beveiligt je inloggegevens. 2FA beschermt je accounts, zelfs als inloggegevens uitlekken. Een VPN beperkt de blootstelling op netwerkniveau. Geen enkele tool dekt elke dreiging.

Wat dit voor jou betekent

Als je een LastPass-klant bent, lijkt je versleutelde wachtwoordkluis veilig op basis van wat het bedrijf heeft bekendgemaakt. Je contactgegevens – waaronder je naam, telefoonnummer, e-mail en fysiek adres – kunnen echter in handen van aanvallers zijn. Die gegevens hebben gevolgen in de echte wereld.

Wees alert op phishing-e-mails die verwijzen naar je LastPass-account of supportgeschiedenis, omdat aanvallers nu over voldoende details beschikken om overtuigende berichten op te stellen. Klik niet op links in ongevraagde e-mails die beweren van LastPass te zijn. Ga rechtstreeks naar de website of app van LastPass als je actie moet ondernemen.

Als je telefoonnummer deel uitmaakte van de blootgestelde gegevens, neem dan contact op met je mobiele provider om een pincode of wachtwoord aan je account toe te voegen ter bescherming tegen SIM-swapping. Dit is een stap die veel mensen over het hoofd zien totdat het te laat is.

Praktische aandachtspunten:

  • Schakel onmiddellijk 2FA in op je LastPass-account en andere waardevolle accounts, bij voorkeur met een authenticator-app in plaats van sms.
  • Wees sceptisch over ongevraagd contact dat verwijst naar je LastPass-account, via e-mail, telefoon of sms.
  • Neem contact op met je mobiele provider om een SIM-lock of account-pincode toe te voegen als je telefoonnummer is blootgesteld.
  • Controleer welke externe diensten toegang hebben tot je accounts en trek OAuth-tokens of gekoppelde apps in die je niet meer gebruikt.
  • Overweeg het gebruik van een VPN op openbare netwerken om de blootstelling op netwerkniveau te verminderen, vooral bij het benaderen van gevoelige accounts.

Het datalek bij LastPass via Klue is een schoolvoorbeeld van waarom het moderne dreigingslandschap vraagt om meerdere overlappende beschermingslagen. Geen enkel product of leverancier is immuun voor lekken, maar gebruikers die hun verdediging in lagen opbouwen, zijn aanzienlijk moeilijker te misbruiken.