Begin december maakte LastPass melding een beveiligingsincident bekend bij de cloudopslagdienst van derden en de ontwikkelomgeving van GoTo, dat is een affiliate van LastPass. Dat incident volgende vier maanden na een datalek bij LastPass zelf, waarbij delen van de broncode werden ontvreemd.
Iedereen kon al op zijn vingers na tellen dat het niet de diefstal in augustus zou blijven. Elke cybercrimineel die (delen van) de broncode heeft zal de weerleiding niet kunnen weerstaan om ook daarmee aan de slag te gaan en zo de schade te vergroten. De melding van december was dus helaas zo goed al onvermijdelijk.
De gifbeker was daarmee nog niet leeg. We wisten al dat bij de aanval in december klantgegevens waren ontvreemd die in de cloud lagen opgeslagen. Met die data kunnen criminelen de inloggegevens van een onbekend aantal gebruikers van de wachtwoordmanager van LastPass achterhalen.
Diefstal (eigenlijk: een digitale kopie) van data is erg, maar de omvang van die schade is bekend en er zijn ook maatregelen te nemen. Het verhaal wordt al wat anders als blijkt dat de kans bestaat dat er toegang is verkregen tot de individuele datakluizen waar wachtwoorden, pincodes en andere waardevolle data plus persoonsgegevens liggen opgeslagen.
Back-ups encrypted
Nu komt GoTo naar buiten met de melding dat bij de aanval in december niet alleen data is buitgemaakt, maar de aanvallers hebben delen van de data die ze konden benaderen versleuteld. GoTo kan dus niet meer bij de eigen back-ups. Daarmee kunnen klanten van dat bedrijf nu ook naar de data fluiten.
De obligate melding dat er geen betaalgegevens zijn ontvreemd komt wel heel apart over. Dat maakt namelijk voor het melden van het incident niets uit. De impact van encryptie van back-ups in combinatie met het eerdere “aftappen” van de log-in gegevens via LastPass is namelijk al een zwaarwegend datalek. Reken maar dat er bedrijven zijn die voor de veilige opslag van data volledig vertrouwden op LastPass en verwante bedrijven. Die hebben in het slechtste scenario nu niets meer. De wachtwoorden en pincodes zijn gelekt en de veilig geachte back-ups zijn versleuted.
