LastPass is een app om wachtwoorden voor allerlei online diensten en apps op te slaan in een digitale kluis, die zelf ook is beschermd met een wachtwoord. In december werd bekend dat hackers kopieën van die kluisgegevens hebben buitgemaakt. Als het de aanvaller lukt om het wachtwoord van die kluis te kraken, heeft hij toegang tot de inhoud - en dus alle wachtwoorden van dat moment.

Cryptoportemonnees geplunderd

Mensen kunnen ook informatie over hun digitale portemonnee voor cryptomunten in LastPass opslaan. "Het lijkt erop dat aanvallers actief bezig zijn om de gestolen informatie te ontsleutelen, op zoek naar die informatie", zegt Gevers. "Vervolgens loggen ze in op de wallet van gebruikers om die digitale portemonnee te plunderen."

Bij Responders meldden zich twee mensen nadat hun cryptoportemonnees waren geplunderd, zegt Gevers. "Uit ons onderzoek blijkt dat het zo goed als zeker is dat dit met gehackte LastPass-gegevens is gebeurd. Beiden gebruikten de digitale kluis om deze informatie op te slaan, en hadden die verder nergens gedeeld. Hoe de hackers precies toegang hebben gekregen weten we nog niet, maar de kans dat het toeval is, is niet heel groot."

Advies: 'Verplaats je cryptomunten'

Responders adviseert mensen die de toegang tot hun cryptomunten in LastPass hebben opgeslagen om zo snel mogelijk actie te ondernemen. Ze moeten hun cryptomunten verplaatsen naar een andere wallet om ze veilig te stellen. "Als de private key van jouw wallet in LastPass stond, kan een hacker daarmee in je digitale portemonnee." Wie een online wallet gebruikt, kan daar ook het wachtwoord - en daarmee de key - veranderen.

"Je LastPass-wachtwoord veranderen heeft in dit geval geen zin", legt Gevers uit. De hackers hebben namelijk toegang tot een oude kopie van je wachtwoordkluis. Als je je LastPass-wachtwoord verandert, heeft dat geen invloed op de gestolen gegevens. "De hackers loggen niet in op LastPass, maar hebben de gestolen data offline in hun bezit."

Los daarvan adviseert Gevers aan LastPass-gebruikers om alle wachtwoorden te veranderen van accounts die in LastPass waren opgeslagen. Op die manier voorkom je dat een hacker toegang krijgt tot die accounts op het moment dat hij jouw kluis binnendringt.

LastPass krijgt veel kritiek

LastPass krijgt veel kritiek over hoe het bedrijf over het incident communiceert. Het bedrijf krijgt het verwijt zijn klanten niet goed te informeren over de hack en hoe zij daarmee om moeten gaan. LastPass zou de risico's voor gebruikers kleiner laten lijken dan ze daadwerkelijk zijn.

Zo schrijft het bedrijf dat het 'vrijwel onmogelijk' is om het hoofdwachtwoord voor de kluis te kraken, zolang klanten een uniek wachtwoord van minimaal twaalf tekens gebruiken - waarbij het wachtwoord een mix is van hoofdletters, kleine letters, cijfers en vreemde tekens - dat geen persoonlijke informatie bevat.

Klanten hoeven in dat geval niets te doen, stelt LastPass. Alleen als het hoofdwachtwoord niet aan die eisen voldoet, raadt het bedrijf aan actie te ondernemen. Critici stellen dat LastPass daarmee niet de ernst van de situatie benadrukt.

"Het bedrijf heeft hier zeker steken laten vallen", zegt Gevers. "Toch blijft mijn advies: gebruik een wachtwoordmanager als je ermee om kan gaan. Het is geen heilige graal, maar als je weet hoe je het moet gebruiken, kan het goed werken."

Wachtwoorden, private keys: hoe zit het?

• Een digitale wachtwoordkluis zoals LastPass is beveiligd met een eigen wachtwoord. Dit is zeg maar de sleutel die toegang geeft tot de inhoud: meestal allerlei andere wachtwoorden. Daarom is het belangrijk dat dit hoofdwachtwoord complex is, en daardoor lastig te kraken.
• Digitale portemonnees (wallets) voor cryptomunten zijn beveiligd met wat een private key wordt genoemd. In feite is dit ook een wachtwoord: met de sleutel kun je toegang krijgen tot de digitale portemonnee
• De private key kun je opslaan in de wachtwoordkluis. Je kunt het vergelijken met de echte wereld: je hebt een schatkist vol munten. De sleutel daarvoor leg je in je kluis. Als je in de kluis kan, kun je de schatkist openen (en er met de buit vandoor gaan).
• Als je je LastPass-wachtwoord verandert, werkt de oude sleutel voor die kluis niet meer. Maar omdat de hackers een oude kopie van de kluis in hun bezit hebben, proberen zij niet in te breken op die kluis, maar op die kopie. De oude sleutel werkt dus op de oude kopie van die kluis.