[Broncode LastPass gestolen, maar je wachtwoorden zijn niet in gevaar]

Melding van een recent beveiligingsincident

Aan alle klanten van LastPass,

Ik wil u informeren over een incident. Het is belangrijk voor ons om dit soort informatie open te delen met al onze gebruikers, zowel zakelijke klanten als particuliere LastPass-gebruikers.

Twee weken geleden hebben we ongebruikelijke activiteiten gedetecteerd in een deel van onze LastPass-omgeving voor ontwikkelaars. We hebben deze activiteiten onmiddellijk diepgaand onderzocht en er zijn geen bewijzen dat iemand bij dit incident toegang heeft verkregen tot klantgegevens of versleutelde kluizen.

We hebben achterhaald dat een ongeoorloofde partij toegang heeft gekregen tot delen van onze omgeving voor ontwikkelaars, via één ontwikkelaarsaccount dat gelekt was. De hackers hebben delen van onze broncode en enkele intellectuele eigendommen van LastPass gekopieerd. Onze producten en diensten werken normaal.

Als reactie op dit incident hebben we maatregelen genomen om de schade te beperken en risico’s af te schermen. Daarnaast hebben we een toonaangevende firma op het gebied van forensische cyberbeveiliging ingeschakeld. Ons onderzoek loopt nog, maar we hebben het lek gedicht en extra versterkte beveiligingsmaatregelen ingevoerd. We zien geen verder bewijs van ongeoorloofde activiteiten meer.

Op basis van deze maatregelen en wat we hiervan hebben geleerd, beoordelen we verdere technieken om risico’s tegen te gaan en onze omgeving te versterken. Hieronder hebben we een korte lijst opgesteld met de vragen die u wellicht heeft, en gaan we in op mogelijke zorgen. Als er verdere ontwikkelingen zijn, houden we u hiervan natuurlijk op de hoogte.

Hartelijk dank voor uw geduld, begrip en ononderbroken steun.

Karim Toubba

CEO van LastPass

 

Vragen over dit incident

1. Is mijn hoofdwachtwoord in gevaar, of bestaat er een risico voor de wachtwoorden van mijn gebruikers?

Nee, uw hoofdwachtwoord is bij dit incident niet in gevaar geweest. We kennen uw hoofdwachtwoord niet en kunnen het daarom ook niet opslaan. We gebruiken een systeemarchitectuur op basis van “zero knowledge”, die ervoor zorgt dat LastPass nooit kennis heeft van de hoofdwachtwoorden van onze gebruikers. HIER kunt u meer lezen over de technische implementatie van dit beveiligingsmodel.

2. Zijn er gegevens in mijn kluis of in de kluizen van mijn gebruikers in gevaar geweest?

Nee. Dit incident is beperkt gebleven tot onze aparte omgeving voor softwareontwikkeling. Uit ons onderzoek is niet gebleken dat onbevoegden toegang hebben gekregen tot versleutelde gegevens in een kluis. Ons beveiligingsmodel op basis van “zero knowledge ” zorgt ervoor dat alleen onze klanten toegang kunnen krijgen tot ontsleutelde gegevens in hun kluis.

3. Is er een risico voor persoonlijke gegevens die zijn opgeslagen in LastPass?

Nee. Uit ons onderzoek is niet gebleken dat onbevoegden toegang hebben gekregen tot gegevens van klanten in onze productieomgeving.

4. Wat moet ik doen om mezelf en de gegevens in mijn kluis te beschermen?

Op dit moment hoeven onze gebruikers en LastPass-beheerders niets te doen. Zoals altijd bevelen we aan dat u onze best practices volgt voor de instelling en configuratie van uw LastPass-account. U vindt een overzicht van deze bewezen praktijken op https://blog.lastpass.com/2022/01/how-to-set-up-your-new-lastpass-account/

5. Waar vind ik meer informatie?

We blijven u op de hoogte houden van eventuele verdere ontwikkelingen.

 

Bron: https://blog.lastpass.com/nl/2022/08/melding-van-een-recent-beveiligingsincident/

[Broncode LastPass gestolen, maar je wachtwoorden zijn niet in gevaar]

3 uur geleden zei Diederik:

Ik ben blij dat ik het nog om de oude manier doe wat meer werk is maar toch goed werkt dus gewoon voor elke site een andere pass gebruiken en ook zelf intypen elke keer maar weer.

Als je Windows met een gebruikersnaam/wachtwoord/pincode gebruikt kun je op zich ook wel redelijk veilig je wachtwoorden in de EDGE browser opslaan. Deze worden versleuteld met een AES256 encryptie sleutel en zijn zonder opnieuw nogmaals je wachtwoord/pincode op te geven niet in te zien, zelfs niet als je reeds bent ingelogd. Maar goed, ik zal de laatste zijn die zal zeggen dat dat 100% veilig is, maar wel super eenvoudig, juist omdat het zo gemakkelijk is om voor iedere site een  uniek wachtwoordsleutel te genereren 💪 

[Stichting BREIN haalt 349 illegale websites offline]

Het is jammer, maar natuurlijk wel te begrijpen dat onze hobby anno 2022 niet meer kan. Wat moet ik nu met al die zeeën van tijd die ik overhoud 😒 Vroeger toen alles nog kon was toch wel een gouden tijd he mensen..... ow wacht, nu ik weer zeeën van tijd heb, ga ik denk ik maar weer de liedjes met mijn tape-recorder van de radio opnemen 🤣🧛‍♂️

[Hoe onderzoekers OSINT gebruiken om IPTV-piraten op te sporen]

1 uur geleden zei Duken:

Mooi stuk! Bijzonder ook om te lezen wat voor tools ze erbij gebruiken. Fake person generator... Die is best tof. 🙂

 

Ik gebruik zelf wel eens deze: Fake Name Generator, het voordeel is dat je ook in het Nederlands iets kan genereren 🧛‍♂️

[Windows 12 in 2024, voor Windows 10 & 11 elk kwartaal nieuwe functies]

Het zal de commercie wel zijn, Windows 12 klinkt nieuwer en sommige mensen willen altijd het nieuwste en trekken dan graag de portemonnee om te kunnen pronken met "heb jij al die nieuwe". Het verschil is vaak minimaal, een likje verf hier en daar en veel "instellingen" nog dieper verstopt, met hier en daar inderdaad soms een kleine verbetering. Onderhuids is Windows in mijn ogen gelukkig al jaren hetzelfde 🧛‍♂️

[5 manieren om grotere bestanden te versturen]

Zeker handig! Ik gebruik zelf deze service nog wel eens: Wormhole - Eenvoudig, privé bestanden delen 

[Top VPN-bedrijven sluiten servers in India]

Aanvulling, ook PIA en NordVPN trekken zich terug uit India:

PIA Is Leaving India Due to Data Collection Directive (privateinternetaccess.com)

VPN firms are removing servers in India to avoid customer data sharing rule | TechCrunch

 

[Server upgrade 05 Duken.nl, snel sneller snelst!]

Fijn dat het gelukt is! En fijn dat de boel niet meer plakkerig aanvoelt 😁We gaan er van genieten, bedankt voor al het werk 🧛‍♂️

[Ziggo hoeft waarschuwingsbrieven van BREIN niet door te sturen aan klanten]

@Skeletor Bedankt voor de verkorte uiteenzetting. Hierbij nog een direct linkje van de Bron waar jij naar verwijst. 🧛‍♂️

[Privédata 6,7 miljoen gebruikers OpenSubtitles gestolen via zwak wachtwoord]

Tja, er blijven mensen die maar een paar wachtwoorden gebruiken voor tal van sites. Anno 2022 kan dat echt niet meer! Voor die mensen zou ik zeggen.... kijk deze website eens:

https://laatjeniethackmaken.nl/

Het is een website waar veel uitleg, tips en trucs worden gegeven waar een ieder van ons wat aan heeft, van Jan met de Pet tot diegene die denken alles dik voor mekaar te hebben🧛‍♂️

[Rusland verbiedt zes VPN-providers incl "Nord VPN" en "Express VPN"]

Ik verwacht niet dat het in Europa zo hard zal gaan.... 5 jaar is zo voorbij en alleen een democratisch gekozen regering vormen duurt al een half jaar

Maar mocht het ooit zo lopen zal er vast wel weer een andere deur opengaan, iets met 17.474.693  mensen schrijf je niet de wetten voor 🧛‍♂️

[Internet Apocalypse - De dreiging van zonne-superstormen waar niemand op voorbereid is]

1 uur geleden zei Diederik:

Allemaal weer van dat bangmakerij en laat me raden het heeft weer met klimaat te maken.

sarcasm/on

Ik heb mijn analoge fietsbanden alvast opgepompt, de ketting gesmeerd, pen en papier uit de kast klaargelegd en een overleving pakket samengesteld. Laat de zonnevlammen en de black-out maar komen 😎

sarcasm/off

Zo'n vaart zal het inderdaad wel niet lopen, maar ik kwam het artikel tegen en had er nooit bij stilgestaan dat zoiets "theoretisch" kan gebeuren en wilde dat leermomentje even met jullie delen, we gaan het wel zien..... is toch niet te voorkomen mocht het ooit gebeuren 🧛‍♂️

[Ziggo voelt druk concurrentie glasvezel meer en meer]

Jawel hoor, Ziggo is best goed. Ik vindt ze alleen door de jaren heen flink aan de prijs geworden. Een beetje meer concurrentie zou niet gek zijn.

Wat ik mis bij de meeste providers is ook de wat betaalbare budget abonnementen, dus internet only €10,- voor 10Mbit up/down ofzo. Zou voor mij en ik denk voor vele genoeg zijn... maar ja alles om de aandeelhouders te vrede te houden denk ik 🤑 meer meer meer 💲

[Japanse onderzoekers breken internetsnelheidsrecord]

Bizar toch eigenlijk.... Ik weet nog dat ik beginjaren 2000 al blij was met mijn slownera 8 KiloBytes per sec lijntje.... en dan zat je je MP3tjes werkelijk binnen te kijken van jeetje dat gaat lekker snel zeg 

Er is ondertussen een hoop veranderd 

[Internet in Nederland is duurder dan in andere Europese landen]

Ik denk dat als internet providers een "Budget" internet abonnement introduceren van €10,- voor 10 Mbit up/down een kwart van de Nederlanders/Belgen overstappen om kosten te besparen.... maar ja dat willen de providers/aandeelhouders niet.... die willen meer meer en meeeeer 💰 

[Google Chrome stelt einde van de tracking cookie uit: wat betekent dit voor onze privacy?]

4 minuten geleden zei Duken:

Ik gebruik https://www.ghostery.com/ die heeft plugins voor diversen browsers. Zelf zit ik op Chrome, deze stop werkelijk alles en geeft ook een gedetailleerd overzicht van alle trackers op de sites.

Ik heb ghostery ook wel gebruikt een aantal jaar geleden, maar had dan regelmatig op websites steeds van die bedel-vragen of ik mijn ADS blocker wil uitschakelen en hoe ik dat zou moeten doen. Je weet misschien wel van die gele balken bovenaan websites zoals "nu.nl" en "Hardware.info". Overigens kreeg ik die ook met ublock en Adguard. Maar misschien is dat nu niet meer.... ik doe al weer een tijdje zonder AD blocker extenties (behalve dan die instelling in EDGE)

[Google Chrome stelt einde van de tracking cookie uit: wat betekent dit voor onze privacy?]

Ik gebruik steeds vaker de EDGE browser van Microsoft met "Strikt" instellingen onder "Privacy". Moet zeggen dat vrijwel alle websites gewoon blijven werken en het behoorlijk scheelt qua ADS/Tracking

Ben benieuwd naar wat jullie doen tegen ADS/Tracking..... Gebruiken jullie hiervoor extenties zoals ADGUARD / Ublock?? Is er volgens jullie ervaring een gouden Tip?

[Gehackte gegevens van 69K LimeVPN-gebruikers te koop op Dark Web]

Inderdaad, dus zoveel mogelijk risico spreiden in alles wat het leven te bieden heeft geeft de beste kans op het ontwijken van een catastrofale situatie.... Ofwel, vertrouw nooit op één partij

 

[Ziggo hoeft downloadgegevens niet af te staan aan Dutch FilmWorks]

Het blijft allemaal commercie. Niemand zal ooit exact kunnen bepalen wat de "schade" is als ik eens een filmpje of MP3 download, en als die "bronnen" er niet zouden geweest of ik of de andere dan naar de (online) winkel was gerend om het product te kopen. Misschien betekend het zelfs wel extra "winst" voor die belanghebbende door de groeiende populariteit, maar daar hoor je niemand over. Mensen die je via legale of illegale weg enthousiast hebt weten te krijgen willen graag iets consumeren/ koesteren / bewaren voor later. De een heeft daar de middelen voor (over) om het product te kopen de andere niet. Ik denk zelfs dat het een utopie is om te denken dat de mensen bij b.v. Stichting BREIN nog nooit een MP3 of filmpje op illegale wijze heeft gekeken, net als dat een ieder wel eens door een rood licht is gereden! We zijn lekker bezig zo met zijn allen 

 

[Ziggo hoeft downloadgegevens niet af te staan aan Dutch FilmWorks]

3 minuten geleden zei Duken:

Zo!!! Niet verwacht wel heel fijn, zeker voor de privacy. Maar ik kan nergens vinden waar de reden is... 

Ach ja, toch een beetje piraten winst.

ECLI:NL:GHARL:2019:9352, Gerechtshof Arnhem-Leeuwarden, 200.256.426 (rechtspraak.nl)

artikel 3:296 BW. artikel 4 sub 2 en 6 AVG. Preambule AVG overwegingen 47 en 50. Artikel 17 en 47 Handvest EU. Artikel 1 Eerste Protocol EVRM.

Artikel 8 en 13 EVRM.

Het hof moet beoordelen wiens belang in dit geval zwaarder weegt: het belang van DFW op bescherming van haar intellectueel eigendomsrecht of het belang van Ziggo c.s. op bescherming van persoonsgegevens van haar klanten. Het hof oordeelt dat op dit moment de belangen van de Ziggo-klanten na afgifte van de persoonsgegevens door DFW nog onvoldoende worden gewaarborgd. De vordering wordt daarom afgewezen.