Op grote schaal is in 2022 en 2023 opgeroepen geen gebruik meer te maken van de LastPass wachtwoordmanager. Dit product is meerdere keren gehackt en keer op keer kwam het bedrijf laat met waarschuwingen. De eigenaren hebben de dienst op afstand gezet van de overige activiteiten om verdere reputatieschade te voorkomen.
Business met een slechte reputatie van een andere naam voorzien of quasi-verzelfstandigen komt behoorlijk veel voor in Amerika. Dat het ook bij cybersecurity voorkomt valt op en dat zet aan het denken.
Maar er is een betere reden te kijken naar LastPass. Het bedrijf, dat nog steeds agressief klanten werft met sponsored content en kortingen richt zich vooral op consumenten, maar er is ook zakelijk aanbod.
Door het enorme volume van de promoties is het lastig online andere informatie over het bedrijf en de datalekken uit het verleden te vinden. Dat is vast geen toeval, want dat soort informatie schaadt de business.
Cryptogeld-pioniers
Brian Krebs is een van de personen die recent weer over LastPass heeft geschreven. De directe aanleiding daarvoor is een melding van de openbare aanklagers in Californië, dat beslag is gelegd op cryptogeld dat jaren terug is gestolen. Die diefstal was mogelijk door de datalekken bij LastPass.
Maar inmiddels is er meer duidelijk geworden en nu blijkt dat naast LastPass ook een bepaalde groep gebruikers pijnlijke, dure en verwijtbare fouten heeft gemaakt. Uit alle stukken blijkt dat door de eerste lichtingen gebruikers van de wachtwoordmanager opvallend vaak gekozen is voor “weaker master passwordsâ€.
Voor de cybercriminelen was het dus mogelijk zowel via de voordeur als achterdeur het pand te betreden, rond te snuffelen en later nog eens terug te komen, zonder dat het opviel. De aanvallers hebben gericht gezocht naar wachtwoorden van een bepaalde groep gebruikers: cryptogeld-pioniers.
Normaal zou je zeggen: de rest van het verhaal is bekend. In dit geval gaat dat niet op. LastPass heeft klanten gewaarschuwd voor het risico van zwakke wachtwoorden, maar is dat pas later gaan afdwingen voor de eerste lichting klanten. Je kunt er gif op innemen dat daardoor nog steeds rekeningen geplunderd worden.
Het tegengaan van zwakke wachtwoorden is ook iets dat in Nederland speelt. Gebruikers ingesleten gewoontes afnemen kan op weerstand rekenen. LastPass heeft zo te lezen na twee jaar nog steeds niet de 100 procent werkende aanpak gevonden. Werving van nieuwe gebruikers lijkt makkelijker (of: belangrijker?) dan bestaande gebruikers opvoeden.