LastPass: meldingen van inlogpoging kwamen door fout in waarschuwingssysteem

LastPass zegt dat gebruikers ten onrechte een melding hebben gekregen van een inlogpoging met hun hoofdwachtwoord door een fout in het waarschuwingssysteem. Er zijn geen aanwijzingen dat wachtwoorden gestolen zijn, of dat bots probeerden in te loggen.

Dat schrijft LastPass in een update, onder meer op Twitter, nadat meerdere gebruikers de afgelopen dagen melding deden dat er een inlogpoging was gedaan met hun hoofdwachtwoord vanaf een voor hen onbekende locatie. Gebruikers waren bang dat hun masterwachtwoord gelekt was, of op een andere manier ontvreemd was. LastPass zegt nu dat er na nader onderzoek geen aanleiding is dat dit gebeurd is en dat de gebruikers die een melding kregen, deze ten onrechte kregen door een fout in het waarschuwingssysteem. Volgens het bedrijf is er niet geprobeerd in te loggen met hun hoofdwachtwoord vanaf een andere locatie.

Eerder zei LastPass dat het mogelijk zou gaan om bots die probeerden in te loggen met wachtwoorden die buitgemaakt zijn bij hacks bij andere diensten. LastPass stelde toen al dat er geen enkele aanwijzing was dat accounts daadwerkelijk zijn binnengedrongen of dat er een lek zou zijn bij LastPass of het voormalige moederbedrijf LogMeIn. Daarnaast is er geen enkele aanleiding dat er gebruikersgegevens buitgemaakt zijn via malware, malafide browserextenties of phishingcampagnes.

In een blogpost, die door LastPass is aangevuld in de loop van dinsdag, benadrukt LastPass dat het bedrijf geen kennis heeft van de hoofdwachtwoorden van gebruikers en deze nergens opslaat. Volgens LastPass is de foutieve waarschuwing verstuurd naar een kleine groep gebruikers. Inmiddels is de fout die daarvoor zorgde opgelost. Ondanks alles raadt het bedrijf gebruikers aan goed naar hun hoofdwachtwoord te kijken en te zorgen dat dit een sterk en uniek wachtwoord is, en om tweestapsverificatie aan te zetten. Ook zegt het bedrijf wachtwoorden niet te hergebruiken.

IT-banen

Reacties (71)

Christoxz 29 december 2021 12:32

Wel vreemd dat ze eerder met een verklaring kwamen dat na onderzoek is gebleken dat het bots gerelateerd is.

LastPass investigated recent reports of blocked login attempts and determined the activity is related to fairly common bot-related activity, in which a malicious or bad actor attempts to access user accounts

En een dag later zijn het toch geen bots maar een fout in het waarschuwingsysteem.
Kan zo zijn, maar gaat dan ook wat fout in de logs, aangezien LP eerst wel verklaarde dat het om bots ging.

Lastig om bedrijven tegenwoordig te vertrouwen...

[Reactie gewijzigd door Christoxz op 22 juli 2024 20:21]

cnieuweboer @Christoxz • 29 december 2021 12:35

Door de fout in the systemen leek het op bots, maar na verder onderzoek blijkt het een bug te zijn. Dat lijkt me toch niet zo'n verschrikkelijk onwaarschijnlijke situatie.

Christoxz @cnieuweboer • 29 december 2021 12:41

Ik snap niet hoe iets op bots kan lijken, als de fout in hun waarschuwing systeem zat, lijkt mij dat de waarschuwing systeem niet verantwoordelijk is voor het inloggen, beveiligen en loggen.

En bots detecteren, doe je dus niet via het waarschuwing systeem, maar uit logs die worden gecreëerd vanuit het inlog process.

Anyway, zoals ik al aangaf, het kan zo zijn, geen idee hoe hun system in elkaar zit, maar het punt is meer dat je steeds minder kan vertrouwen op het woord van bedrijven.

Je kan niet zeggen het komt door bots, terwijl je nog niet helemaal klaar bent met je onderzoek(Of nog verder wilt onderzoeken), en dan later toch zeggen het waren geen bots. Wellicht zijn het morgen toch wel weer bots?

Wacht dan gewoon een dag met je verklaring, als je er niet zeker van bent.

NielsFL @Christoxz • 29 december 2021 12:49

Het is inderdaad een beetje vreemd. Dat iets in een high-level dashboard op de support afdeling ofzo lijkt op bot-activiteit kan ik me wel voorstellen.

Maar zodra er iemand onderzoek gaat doen en er server logs bij pakt moet je toch vrij snel zien dat er geen noemenswaardige stijging is in bot-activiteit.

swhnld

@NielsFL • 29 december 2021 14:05

Dan ga je wel uit van een bepaald niveau en kwaliteit van logging. Bij dit soort grote diensten is er heel veel informatie die gelogd wordt door veel gebruikers en constante botnets en scriptkids die iets proberen.
Dan moet je specifieke gevallen en tijdstippen hebben en die er uit gaan filteren, en vervolgens ook nog zien te reproduceren.

Bor Coördinator Frontpage Admins / FP Powermod @swhnld • 29 december 2021 15:40

Aan de andere kant hebben dit soort partijen doorgaans de beschikking over geavanceerde analyse tools / een SIEM oplossing waardoor dat zoeken een makkelijker wordt.

Room42 @Christoxz • 29 december 2021 12:49

Wacht dan gewoon een dag met je verklaring, als je er niet zeker van bent.

Dat kan toch niet!

Heel social media schreeuwde moord en brand. Dan kun je als beveiligingsbedrijf toch geen radiostilte houden?

Evdpol @Room42 • 29 december 2021 13:30

je kan toch zeggen we zijn de situatie aan het onderzoeken, verander uit voorzorg uw master password.

bla bla bla enz...

Dennisdn @Christoxz • 29 december 2021 13:24

Kan mij voorstellen dat ze zoveel inlogpogingen zagen in zo’n korte tijd dat het onmogelijk handmatig kon zijn en dus wel een bot moest zijn?

Christoxz @Dennisdn • 29 december 2021 13:25

En een dag later zijn deze aanwijzingen weg:

Er zijn geen aanwijzingen dat wachtwoorden gestolen zijn, of dat bots probeerden in te loggen.

Blokker_1999

Websites en community's

@Christoxz • 29 december 2021 13:21

Het kan zijn dat de bug er voor zorgde dat in uitzonderlijke situaties een poging waarbij een foutief wachtwoord werd gebruikt toch aanmerkte als zijnde een correct antwoord voor wat betreft het afhandellen van de melding naar de gebruiker. Dan is het dus perfect mogelijk dat bots bezig zijn met falende inlogpogingen en er niets aan de hand is maar een bug dus voor foutieve meldingen zorgt.

Deze verklaring is dus zeker niet tegenstrijdig met de vorige. Maar door het hoge aantal mensen dat claimt een uniek wachtwoord te hebben voor hun lastpass zijn ze verder gaan kijken en bleek hun initiele verklaring dus niet helemaal correct te zijn.

Tommy_K @Christoxz • 29 december 2021 13:51

Wat ze gister aangaven was dat ze een licht verhoogde bot activiteit zagen, ze maakten op dat moment de veronderstelling dat dat gerelateerd was aan de meldingen die gebruikers kregen. Mogelijk dat een half antwoord van de ene afdeling als een heel antwoord door een andere is gezien
Na uitgebreider onderzoek bleken die zaken niet gerelateerd.

Moet eerlijk zeggen dat dit voor mij als een redelijk aannemelijke gang van zaken klinkt. En liever dat ze eerst uitgaan van het ergste tot ze weten dat het niet zo is.

dennizzz

@Christoxz • 29 december 2021 12:43

Het kan ook beide. Een geautomatiseerde inlog via een bot op jouw account met een fout wachtwoord, maar waardoor er een alert uit ging dat het een geslaagde inlogpoging zou zijn.

Alxndr

@dennizzz • 29 december 2021 13:06

je woordgebruik maakt het nogal onduidelijk wat je bedoelt te zeggen:

Als een wachtwoord fout is, is het geen login, maar een inlogpoging. Een geslaagde poging is een login.

Ik ken lastpass verder niet, maar krijg je van succesvolle logins een melding/alert? Ik ben blij dat ik dat bij mijn wachtwoord manager niet krijg, want dan zou ik per dag tientallen nutteloze meldingen/mailtjes ontvangen.

dennizzz

@Alxndr • 29 december 2021 13:19

Dan bedoel ik een inlogpoging ;-)
Ik gebruik lastpass ook niet (ik gebruik 1password). Het lijkt me niet dat je van elke foute inlogpoging een melding krijgt. Er zullen continu vele geautomatiseerde pogingen gedaan worden met wachtwoorden uit eerdere leaks van andere diensten denk ik zo. Wellicht zijn er door een bug nu wél meldingen verstuurd bij foute inlogpogingen, met daarbij een misleidende tekst dat het een succesvolle poging is geweest.

Just guessing.

Christoxz @dennizzz • 29 december 2021 13:25

Goed punt, echter maakt Tweakers er dit van:

Er zijn geen aanwijzingen dat wachtwoorden gestolen zijn, of dat bots probeerden in te loggen.

dennizzz

@Christoxz • 29 december 2021 13:30

Ja, zo letterlijk haal ik het niet uit de gelinkte blogpost. Daar hebben ze het nog steeds over attempted “credential stuffing” activity

MrMonkE @Christoxz • 29 december 2021 15:36

Ja, ik lees net iets te vaak reacties op Tweakers die na het lezen van het bronmateriaal de auteur wijzen op een foute interpretatie of typefout die het beeld vertekent.

watercoolertje @Christoxz • 29 december 2021 13:15

Lastig om bedrijven tegenwoordig te vertrouwen...

Een bedrijf dat terug durft te komen op een eerdere uiting die (achteraf) niet correct blijkt te zijn en dat ook toegeeft heb ik juist alleen maar respect voor!

Bor Coördinator Frontpage Admins / FP Powermod @watercoolertje • 29 december 2021 14:51

Welke keuze hebben ze; Lastpass handelt min of meer in vertrouwen (het veilig houden van jouw credentials). Elke uitspraak welke afbreuk doet aan dat vertrouwen kost direct en indirect klanten. Het is Lastpass er dus alles aan gelegen om niet correcte uitspraken te weerleggen waar mogelijk.

winwiz

@Christoxz • 29 december 2021 13:59

dat het mogelijk zou gaan om bots en dat geeft dit eigenlijk ook aan: is related to fairly common bot-related activity

Ik denk dat er bij zo'n dienst continu bots aan het werk zijn, dus zo gek is de gedachte niet.

Christoxz @winwiz • 29 december 2021 14:02

De gedachte is niet zo gek, de verklaring van gister dus wel, als je er niet zeker van bent.

LP verklaarde dat de meldingen gerelateerd zijn(waren) aan bot pogingen.

LastPass investigated recent reports of blocked login attempts and determined the activity is related to fairly common bot-related activity,

Een logische verklaring is niet direct gerelateerd.

Room42 @Christoxz • 29 december 2021 12:47

Een bedrijf bestaat uit meerdere afdelingen en nog meer personen. De eerste afdeling die geconfronteerd werd met de ophef was niet op de hoogte of kon niet bij het systeem waar de fout in bleek te zitten en omdat er grote druk vanuit de klantengroep kwam, heeft men een eerste verklaring naar buiten gekomen. Na verder onderzoek bleek dit dus een fout in het systeem. Dat is voldoende aanleiding voor een verklarende rectificatie.

Turismo @Christoxz • 29 december 2021 13:10

Denk dit helaas de redelijke waarheid is, bij genoeg IT bedrijven gewerkt, waar te pas en te onpas werd geroepen dat het een ddos aanval was wanneer de servers plat waren, waar dit later een hele andere oorzaak bleek te zijn.

Krijg er altijd beetje het gevoel van laten we het op iets afschuiven wat buiten onze macht ligt en moeilijk is te verfieren voor derden zodat we maar van het gezeik af zijn.

Lastpass werkt nou niet echt een hele betrouwbare indruk op mij als bedrijf wat juist security moet waarborgen, zeker wanneer ze dit soort statements maken wat niet helemaal waterdicht gefact checked lijkt te zijn, denken ze wel na hoe het overkomt naar gebruikers als ze zo lopen de draaikonten.

[Reactie gewijzigd door Turismo op 22 juli 2024 20:21]

rjtuijnman @Christoxz • 29 december 2021 15:06

Daarom heb ik mijn eigen passwordmanager geschreven. Wordt gewoon op een USB--stick opgestart en maakt GEEN verbinding met internet. Stick uit de machine: geen bot of hacker die er nog bij kan!

NmidnetS 29 december 2021 12:42

Ik snap zowieso niet waarom mensen een cloud systeem gebruiken voor hun wachtwoorden

Verwijderd @NmidnetS • 29 december 2021 14:40

Jij werkt nog met geeltjes?

Bor Coördinator Frontpage Admins / FP Powermod @Verwijderd • 29 december 2021 14:51

Er zit natuurlijk veel meer tussen "met geeltjes werken" en een cloud gebaseerde oplossing van een 3e partij. Zo kan je ook zelf ene password manager installeren.

scheh02 @Verwijderd • 29 december 2021 15:11

Nou dit is nu net waarom ik al die kluis apps niet gebruik. Dus laat die "geeltjes" humor maar achterwege.

Je staat raar te kijken als dit soort bedrijfjes gehackt worden en al jou 681 wachtwoorden liggen op straat.

Verwijderd @scheh02 • 29 december 2021 15:13

Ja en dat doe je ook als je oh zo geweldige zelf gehoste kluis dat wordt.

Bor Coördinator Frontpage Admins / FP Powermod @NmidnetS • 29 december 2021 12:46

Er zijn natuurlijk meerdere voordelen zoals het niet zelf hoeven te patchen en beveiligen van een systeem, vrijwel overal vandaan bij de wachtwoorden kunnen komen etc.

beeldbuijs @NmidnetS • 29 december 2021 13:33

Voor veel wachtwoorden is het risico beperkt. Meeste accounts die ik heb zijn van webwinkels en fora en dergelijke. Daar kan een ander niet zo veel mee, want je moet toch eerst betalen als je wat besteld. En dat betalen / bankieren, digid en dergelijke, daarvoor heb je ook nog mijn telefoon nodig.

DataGhost

@beeldbuijs • 29 december 2021 13:51

want je moet toch eerst betalen als je wat besteld

Totdat jij straks een factuur van eoa afterpay-ding in de bus krijgt voor iets wat jij niet hebt besteld (maar "jij" wel) en met het issue zit dat je dat op moet gaan lossen voordat er incasso's en deurwaarders op gezet worden. Daarom is ook jouw account bij een webwinkel belangrijk om veilig te houden.

beeldbuijs @DataGhost • 30 december 2021 01:35

Gaat allemaal niet zomaar. Als dat zo makkelijk was, zou ik ook voor jou een account aan kunnen maken en bestellen met 'afterpay', gewoon om te zieken.

Het wordt natuurlijk anders als je een credit card koppelt en one-click-achtige toestemming geeft, dat is sowieso een slecht idee, maar zelfs dat is tegenwoordig eigenlijk altijd achter een 2FA gezet.

DataGhost

@beeldbuijs • 30 december 2021 03:02

Dat gaat allemaal wel zomaar. Het is inderdaad niet zo makkelijk als een account op mijn naam aanmaken en als eerste bestelling direct afterpay gebruiken, dan gaan allerlei alarmbellen af. Dat was ook de hele case niet, het gaat hier om wellicht ooit uitgelekte wachtwoorden van jouw bestaande accounts bij webshops. Het gaat opeens een stuk makkelijker als je zo'n bestaande account van iemand hebt waar al meermaals iets mee besteld is, omdat die account dan al vertrouwd is door de shop als zijnde legitiem. Dat is regelmatig bij shops als bijv. Bol gebeurd.

beeldbuijs @DataGhost • 30 december 2021 22:22

Ik vind dit wel een interessant onderwerp, dus ik keek eens bij Wehkamp, aan wat voor voorwaarden je moet voldoen. Sowieso moet je de eerste keer altijd vooruitbetalen. Even op iemand anders zijn naam bestellen kan dus niet, tenminste, niet zonder er zelf voor te betalen.

Verder staat er op de site

Veiligheid
Wij letten goed op de veiligheid van jouw account. Als we vermoeden dat iemand anders heeft geprobeerd om op jouw account in te loggen, kunnen we Achteraf betalen tijdelijk blokkeren.

Kortom, zonder het zelf te hebben uitgeprobeerd, wed ik dat je een link in een mailtje of in je mobiele app of zo moet aanklikken 'ter verificatie', oftewel 2FA, zodra je ineens vanaf een ander IP iets gaat bestellen met achteraf-betalen-optie. Of zodra je zelfs maar een andere browser gaat gebruiken of je cookies gewist zijn. En gelijk hebben ze want dit soort grappen gebeurde natuurlijk wel degelijk in de begindagen.

Mensen gebruiken nou eenmaal graag zoveel mogelijk hetzelfde wachtwoord. Die lekken wel eens uit en staan vroeg of laat op haveibeenpwned.com, maar dat is gelukkig ook tot de webwinkel-industrie doorgedrongen.

Bor Coördinator Frontpage Admins / FP Powermod 29 december 2021 12:34

LastPass zegt dat gebruikers ten onrechte een melding hebben gekregen van een inlogpoging met hun hoofdwachtwoord door een fout in het waarschuwingssysteem. Er zijn geen aanwijzingen dat wachtwoorden gestolen zijn, of dat bots probeerden in te loggen.

Kortom, anders dan een waarschijnlijk geautomatiseerde waarschuwing is er geen aanleiding geweest om uit te gaan van misbruik? Hoeveel vooronderzoek doet men dan voor men een waarschuwing naar buiten brengt welke voor redelijke paniek zorgt onder sommige gebruikers?

Cergorach

Websites en community's

@Bor • 29 december 2021 12:51

Hoeveel vooronderzoek doet men dan voor men een waarschuwing naar buiten brengt welke voor redelijke paniek zorgt onder sommige gebruikers?

Je gaat waarschuwen wanneer je redelijk zeker bent wat het issue is, zeker als dat issue een groot security risk kan zijn. Je gaat het niet eerst helemaal uitzoeken tot in de puntjes voordat je gaat waarschuwen, dat kost veel te veel tijd en kan veel te veel schade veroorzaken door niet tijdig actie ondernemen.

In dit geval vermoed ik dat de conclusie vrij hard was en men er pas achter kwam dat het een bug was nadat men diep in de impact is gaan duiken van dergelijke inlogpogingen.

Zie het als je inbraak alarm gaat af, je komt buiten ruit stuk met een baksteen op de stoel. Je doet aangifte en na onderzoek blijkt dat dit geen inbreker was, maar een vrachtwagen die door de straat reed met puin afval en daar duur een hobbel een baksteen afviel door je ruit heen. Die eerste melding van KeePass is effectief die aangifte in dit geval.

Bor Coördinator Frontpage Admins / FP Powermod @Cergorach • 29 december 2021 12:52

Je gaat het niet eerst helemaal uitzoeken tot in de puntjes voordat je gaat waarschuwen, dat kost veel te veel tijd en kan veel te veel schade veroorzaken door niet tijdig actie ondernemen.

Dat is dan ook niet wat ik zeg. Een eerste arbitrage is altijd een beknopt eigen onderzoek / verificatie als het goed is. Aan de hand daarvan neem je een beslissing op basis van risico (kans x impact) of je direct gaat waarschuwen of dat extra onderzoek nodig is.

Vergeet ook niet dat false positives er voor zorgen dat mensen 'meldingsmoe' worden. Zie het als the boy who cried wolf. Als je maar genoeg foutieve meldingen naar buiten brengt gaan mensen er de volgend keer vanzelf van uit dat het wel weer mee zal vallen.

Dus; naar buiten brengen: ja, wanneer er voldoende aanleiding is om aan te nemen dat de dreiging reëel en groot genoeg is. Dat bepaald je in mijn ogen niet op basis van alleen een geautomatiseerde melding.

[Reactie gewijzigd door Bor op 22 juli 2024 20:21]

Room42 @Bor • 29 december 2021 12:43

Hoeveel vooronderzoek doet men dan voor men een waarschuwing naar buiten brengt

Waar heb je het over? Die waarschuwing was de geautomatiseerde waarschuwing, daar is geen onderzoek aan vooraf gegaan. Dat deze nu verkeerd triggerde is even jammer maar beter teveel dan te weinig.

Bor Coördinator Frontpage Admins / FP Powermod @Room42 • 29 december 2021 12:44

Waar ik het over heb? Doorgaans acteer je op een waarschuwing met een verificatie / eerste arbitrage en ga je niet zo maar uit van de correctheid van een geautomatiseerde melding. Een false positive is namelijk altijd mogelijk. Natuurlijk is een alert te veel beter dan 1 te weinig maar dat doet niets af aan het feit dat je ook gewoon eerst zelf een al dan niet beknopt onderzoek / verificatie moet doen voor je zaken naar buiten brengt.

[Reactie gewijzigd door Bor op 22 juli 2024 20:21]

Soldaatje 29 december 2021 12:34

Mogen ze wel hun excuses voor aanbieden, kan me voorstellen dat klanten uit voorzorg meteen hun wachtwoorden gaan veranderen.

Wachten... @Soldaatje • 29 december 2021 12:40

Het lijkt me sowieso nooit verkeerd om een wachtwoord te veranderen als zoiets gebeurt.

Fouten e.d. kunnen nou eenmaal gebeuren en dan neem je liever het zekere voor het onzekere....

Mijn moeder zij altijd dat je er niks aan hebt als verongelukt en op je grafsteen staat "maar ik had wel voorrang" beetje hetzelfde principe!

Alxndr

@Wachten... • 29 december 2021 13:20

Hoewel het zekere voor het onzekere verstanding klinkt is het regelmatig veranderen van wachtwoorden minder veilig dat je misschien in eerste instantie zou denken:

Hoe vaker je een wachtwoord vervangt, hoe groter de kans dat je deze òf vergeet òf ergens op gaat schrijven òf een makkelijkere kiest die eenvoudiger te onthouden is.

Het hele idee van een wachtwoord manager is dat je maar 1 wachtwoord nodig hebt en deze dus extra veilig kunt maken, als deze dan ook nooit ergens ander gebruikt is er geen reden om deze te wijzigen totdat je zeker weet dat die gekraakt is.

Wachten... @Alxndr • 29 december 2021 13:28

Ik snap je idee erachter, maar hoe weet je altijd zeker of je wachtwoord wel of niet ergens op straat ligt?

Door malware keyloggig e.d. kan je wachtwoord zeker wel gelekt zijn zonder dat je hier direct weet van hebt.

Wat jij aangeeft is niet onveiliger, maar is een gebrek aan even serieus met je wachtwoord bezig zijn toch? Je moet je wachtwoord ook niet om de maand vervangen, maar eens in het jaar ofzo kan echt prima (althans dit werkt hier prima in ons gezin).

Alxndr

@Wachten... • 29 december 2021 17:37

Het voor- en nadeel van als je masterwachtwoord op straat ligt, dat je er waarschijnlijk heel snel achter komt, omdat dan alles dan direct op straat ligt.

En met een keylogger ben je sowieso de lul, of je je wachtwoord nu nooit of iedere dag veranderd.

Ik baseer me nog steeds op een artikel wat ik ooit las van het Britse National Cyber Security Centre - zij stellen dat het af te raden is om wachtwoorden (te) regelmatig te veranderen ald dat puur om ze te veranderen is; daar kleven meer risico's dan voordelen aan.

Zelf heb ik ook een aantal zeer vervelende ervaringen met wachtwoorden niet kunnen onthouden vlak nadat je ze gewijzigd hebt: er zweven ergens nog iets van 2 bitcoin rond (wat toen wisselgeld van een paar euro was) en ben ik toen ik voor de eerste keer een password manager had een keer m'n master password vergeten waardoor ik 2 dagen lang al mijn accounts handmatig moest resetten...

lilmonkey

@Alxndr • 29 december 2021 20:29

Wachtwoorden die je zelf bedenkt en/of onthoudt kun je beter niet periodiek veranderen*, dat is al lang geen nieuws meer. Zie ook aanbevelingen van NIST.

Wachtwoorden in beheer van een wachtwoordmanager kun je beter juist wel regelmatig veranderen. En laat het hier nou juist over een wachtwoordmanager gaan...

* Tenzij er bij een bepaalde site/service een 'breach' is geweest (of aanwijzingen daartoe) natuurlijk.

lilmonkey

@Alxndr • 29 december 2021 13:44

Um, LastPass raadt ook aan de wachtwoorden in je kluis regelmatig te veranderen. Er zit zelfs een functie in LP die dat voor veel diensten automatisch kan doen.

Bor Coördinator Frontpage Admins / FP Powermod @Wachten... • 29 december 2021 12:42

Natuurlijk is het altijd goed om een wachtwoord te veranderen, zeker in dit soort gevallen maar dat neemt niet weg dat dit vooral ook een slordige fout lijkt te zijn welke bij diverse klanten kwaad bloed zet en wat weer een smet is op de naam van LastPass.

Wachten... @Bor • 29 december 2021 12:48

Zeker mee eens, als er fouten worden gemaakt is nooit leuk, en hoe slordiger de fout hoe kwalijker de zaak. Dit neemt niet weg dat het een illusie is om te denken dat er een bedrijf bestaat die nooit fouten maakt.

Ik ben overigens geen Lastpass gebruiker hoor, dus het is niet dat ik hun verder verdedig

ik maak gebruik van Self hosted Bitwarden.

Frame164 @Bor • 29 december 2021 13:06

Als je geen slordige fouten meer wilt hebben moet iedereen gewoon alle activiteiten stoppen. Jij dus ook. Oftewel: slordige fouten zijn en blijven er. Mensen maken fouten. En achteraf zijn alle fouten slordige fouten.

Wachten... @EchoWhiskey • 29 december 2021 15:15

Hoop je dat iemand hapt?

Auredium 29 december 2021 12:53

Ongeacht wat de oorzaak was; het zal ongetwijfeld sommige gebruikers hartkloppingen hebben veroorzaakt. Mensen die wat wisten dat er risico's zaten aan het gebruik van deze vorm van wachtwoordkluizen maar om wat voor reden dan ook nog niet naar andere systemen waren overgestapt. Dit gebeuren zal een hoop van die mensen hebben laten opschrikken en hebben aangespoord om toch maar eindelijk het om te zetten naar een ander systeem.
Let wel; Lastpass zal gewoon nog een veilig systeem zijn maar je weet dat als je je wachtwoordkluis online hebt staan er altijd mensen aan je virtuele deurtje zullen aankloppen en de sloten zullen testen. Wilt niet zeggen dat ze daarin slagen natuurlijk.

Als je de oorzaak niet weet, zeg dan dat je de zaak onderzoekt en hou verder je klep. Wijzen naar 'verhoogde activiteit' die vervolgens nergens mee te heeft schetst het beeld dat LastPass geen zicht had op de oorzaak. Plat gezegd - ze riepen maar iets. De verhoogde activiteit kon ook zijn ontstaan omdat mensen n.a.v. dit nieuws gingen checken of alles goed was.

Ik vind het geen sterk staaltje probleemmanagement. Vertrouwen is zo kwetsbaar dat je geen tegenstrijdige berichten wilt hebben. Want als er een keer wèl iets is, dan knaagt dit toch een beetje.

Een oorzaak is niet altijd duidelijk aan te wijzen met als gevolg dat je kan blijven zoeken. Dat zou dan volgens jou moeten betekenen dat er niets gezegd zou moeten worden?

Daarbij gaat ook net zo goed op dat we als tweaker wel een mening kunnen hebben wat misschien oorzaken kunnen zijn (of zelfs conclusie trekken), maar die is net zo goed niet zomaar van toepassing. Dan zou je dus zelf ook moeten toepassen dat je conclusie dat iets kan dus maar niet geschreven zou moeten worden? Of ga je dat selectief toepassen?

Dat je geen tegenstrijdige berichten wil lezen is begrijpelijk. Maar een andere conclusie trekken is niet zomaar een tegenstrijdigheid. En een andere conclusie kunnen trekken omdat je nieuwe aanwijzingen hebt is niet zomaar alsof de eerdere conclusie dus maar niet getrokken kon worden.

Als je zou stellen dat er bij een conclusie duidelijkheid hoort te zijn wat twijfels zijn en of het nog verder onderzoek krijgt dan geef ik je gelijk. Alleen betwijfel ik of bedrijven dat altijd maar duidelijk kunnen maken, omdat die onzekerheid net zo goed negatieve gevolgen kan hebben voor klanten en het bedrijf.

dutchgio 29 december 2021 20:28

Raar verhaal, ook na de eerdere verklaring van LastPass.
Dat dat niet klopte was wel duidelijk, want het ging ook om direct gewijzigde of unieke wachtwoorden, waardoor credential stuffing door 'bot activiteit' geen optie was.

laptopleon 29 december 2021 14:50

Even ingelogd op mijn oude LastPass account. Het valt op dat een groot deel van de inlogs 'vorige week' voor het laatst is gebruikt, volgens de webinterface. Dat is vreemd want ik heb misschien een of twee inlogs vorige week geraadpleegd, maar zeker geen tientallen of honderden.

JonnyTheG 29 december 2021 15:31

Ik heb ook een mail gekregen. Gelijk mijn account opgezegd. Was namelijk toch al overgestapt. Ik kreeg bij het opzeggen een foutmelding alleen een # als code. Toch kon ik daarna niet meer inloggen. Mijn zakelijke account ook opgezegd. Zelfde foutmelding.

OxWax @JonnyTheG • 29 december 2021 18:08

Naar waar/wat bent u overgestapt alsikvragenmag?

JonnyTheG @OxWax • 29 december 2021 19:01

Bitwarden via Vaultwarden. Vaultwarden is selfhosted. Plus je krijgt veel premium functies gratis. Dus in eigen beheer met makkelijke cloud functies. Op elk apparaat te gebruiken waar je Bitwarden op kan gebruiken. Enige wat je dan moet doen is via de instellingen de url in te vullen voordat je gaat inloggen.
Als je Home Assistant hebt draaien dan kan je makkelijk Vaultwarden daarbij installeren. Anders kan je het ook makkelijk in een docker draaien.

OxWax @JonnyTheG • 29 december 2021 19:18

aha, eens bekijken,
Thanx $_/-\o_$

Jerie

@JonnyTheG • 30 december 2021 17:10

Zijn je wachtwoorden nu ook anders of nog hetzelfde? (Asking for a friend.)

Jerie

30 december 2021 17:10

How did LastPass master passwords get compromised? interessante analyse.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (71)

Sorteer op:

Weergave: