LastPass-eigenaar GoTo meldt hack van versleutelde back-ups van andere diensten

Bij een grote hack op LastPass in november zijn ook andere, versleutelde back-ups van diensten van moederbedrijf GoTo gestolen. Het gaat om gegevens van vpn-dienst Hamachi, meetingdienst Join.me en remoteaccesstool Remotely Anywhere. Ook zijn decryptiesleutels gestolen.

GoTo waarschuwt klanten in een blogpost en neemt apart contact met hen op. Volgens het bedrijf zijn er bij GoTo Central en Pro, bij Join.me, Hamachi en Remotely Anywhere 'versleutelde back-ups' gestolen bij een aanval. Dat zijn allemaal producten die worden gemaakt door GoTo. Het verschilt per dienst welke informatie is gestolen. Het gaat in de meeste gevallen in ieder geval om gebruikersnamen, wachtwoorden, een deel van de multifactorauthenticatie-instellingen van gebruikers en product- en licentieinformatie van klanten.

Hoewel de wachtwoorden gesalt en gehasht waren, zegt GoTo dat er in sommige gevallen ook decryptiesleutels zijn gestolen. Wat de impact daarvan precies is en wat er kan worden ontsleuteld met de gegevens, is niet bekend.

De aanval zou in november 2022 hebben plaatsgevonden. Dat is ook het moment dat wachtwoordmanager LastPass, onderdeel van GoTo, werd getroffen. Er is veel kritiek op de manier waarop GoTo dat datalek afhandelde. Het bedrijf moest meer dan eens nieuwe onthullingen doen, waaruit bijvoorbeeld bleek dat er toch wachtwoorden zijn gestolen en dat die toch minder goed beveiligd waren dan gedacht, ook al bagatelliseerde het bedrijf de situatie eerder.

De aanvallers zouden bij de andere GoTo-diensten zijn binnengekomen nadat ze bij LastPass waren binnengedrongen. Details over de hack zijn nog schaars. Het nieuwe lek bij de andere GoTo-producten roept verdere vragen op over de beveiligingssituatie bij GoTo en LastPass; het feit dat er naast wachtwoorden ook decryptiesleutels en mfa-informatie is gestolen, doet vermoeden dat veel van die gegevens samen werden bewaard of in ieder geval makkelijk samen vindbaar waren.

GoTo zegt niet hoeveel klanten zijn getroffen. Ook geeft het bedrijf publiekelijk niet aan of het klanten kan helpen. Wel zegt GoTo dat wachtwoorden zijn gereset en dat accounts voortaan worden overgezet naar een nieuw identity management platform, maar daarover geeft het geen details.

Reacties (164)

Burkle 25 januari 2023 12:13

Ligt het aan mij of is LastPass in tegenstelling tot concurrenten de laatste tijd de sjaak? Met zoveel meldingen twijfel ik of ik moet blijven of niet.

CH4OS

Beveiliging en antivirus

@Burkle • 25 januari 2023 12:21

LastPass wordt genoemd, omdat dat het bekendste product is van het moederbedrijf. LastPass is nu niet getroffen.

Lees even goed, zou ik zeggen. Natuurlijk spreekt het wel boekdelen dat er bij (onderdelen van) het moederbedrijf achter LastPass weer een hack is. Het zal vast ook verder uitwerken naar LastPass toe, maar nu is er in elk geval geen (extra) informatie gelekt bij LastPass.

[Reactie gewijzigd door CH4OS op 22 juli 2024 17:47]

3raser @CH4OS • 25 januari 2023 12:28

Lees even goed, zou ik zeggen.

Lees zelf even goed want dit betreft volgens dit artikel dezelfde hack. Er is dus geen nieuwe hack maar de data die van LastPass is gestolen was blijkbaar slechts een deel van alle data die werd gestolen. Ook de data van andere dochterbedrijven werden gestolen.

jaapzb @CH4OS • 25 januari 2023 12:52

LastPass is wel getroffen, maar dat was al eerder bekend geworden. Nu komt naar buiten dat in dezelfde hack ook andere diensten getroffen zijn.

xoniq @CH4OS • 25 januari 2023 15:41

LastPass is nu niet getroffen

Dit keer niet, nee.

d3burt

@CH4OS • 26 januari 2023 08:57

Nee, maar volgens Ars Technica is de lek iets ernstiger dan gemeld, want metadata blijkt unencrypted in de database te staan. Je kunt zelf 2FA recovery codes in een note veld toevoegen, en die zouden dus ook metadata zijn.

Je kunt je eigen data downloaden en zelf checken wat wel en niet encrypted is. Ik gebruik al jaren KeePass (en nu KeePassXC) in combinatie met Syncthing om zelf controle te houden over waar mijn backups staan, en dus waar ik kwetsbaar kan zijn voor design problemen in KeePassXC.

En hoe goed je encryptie en opslag ook is: zodra je een remote control trojan met keylogger oploopt is het sowieso game over.

Jizzy @Burkle • 25 januari 2023 12:18

Wegwezen en alle wachtwoorden die er ooit inzaten aanpassen, de encrypted wachtwoorden die zijn buitgemaakt worden al gedecrypt.

inorde

@Jizzy • 25 januari 2023 12:47

Ik heb hier nog nergens een geloofwaardig bericht over gezien. Desalniettemin heb ik mijn belangrijkste wachtwoorden al aangepast.

Sleepkever @inorde • 25 januari 2023 14:12

Geloofwaardig nog niet nee, maar het statement van LastPass dat ze niet gekraakt kunnen worden in een miljoen jaar is ook niet heel geloofwaardig. Een concurrent, 1Password, heeft daar een mooie blogpost over geschreven: https://blog.1password.com/not-in-a-million-years/

TL;DR: LastPass claimt dat het in een miljoen jaar niet te kraken is wat klopt mits je master password volledig random gekozen wordt, maar wij mensen zijn slecht in goeie random passwords kiezen. Realistische hoeveelheden passwords bruteforcen is zeer betaalbaar en kan dus ook gaan gebeuren.

vrow @Sleepkever • 25 januari 2023 14:44

Ik had wel een random hoofdwachtwoord hoor, keurig opgeslagen in LastPass zodat ik hem niet vergeet :-)

[Reactie gewijzigd door vrow op 22 juli 2024 17:47]

kimborntobewild @Sleepkever • 25 januari 2023 16:33

TL;DR: LastPass claimt dat het in een miljoen jaar niet te kraken is wat klopt mits je master password volledig random gekozen wordt, maar wij mensen zijn slecht in goeie random passwords kiezen.

De gebruiker weet zelf ook wel dat een wachtwoord als 'Fido8my2Sox!' niet random is.

Aardwolf

@Sleepkever • 25 januari 2023 17:28

maar wij mensen zijn slecht in goeie random passwords kiezen.

Daarom misschien ook Diceware of andere random passphrase tools gebruiken. Sommige wachtwoordmanagers hebben optie tot plugin van Diceware. Neem een lengte van minimaal 4 worden of beter meer, doe er een paar fantasiewoorden bij en/of onbestaande die je zelf verzon, dan heb je het best lang en veilig.

De welbekende XKCD daarvoor.

Xiz @inorde • 25 januari 2023 13:26

Nee, ik zie tot nu toe ook alleen maar geruchten. Maar die encryptie is wel de allerlaatste verdedigingslaag, en op het moment dat die doorbroken wordt ben je sowieso te laat om nog iets te doen. Het is een vervelend klusje, maar ik zou zsm alle wachtwoorden die je had in LastPass wijzigen en ergens anders opslaan.

Aardwolf

@Xiz • 25 januari 2023 17:27

Dat. Ik zou ook vooral zeggen zet alleen de wachtwoorden in een online dienst die je vaak gebruikt. Hou de rest offline, bijv. in een eigen lokale kluis op je pc. Sommige dingen heb je maar zelden nodig en dat beetje extra gemak is het risico niet waard, vind ik tenminste. Scheelt je in dit geval ongemak en nog meer dingen moeten omzetten. Als je dan toch bezig bent kan je daartoe besluiten.

swinferno @inorde • 25 januari 2023 15:48

Hier wat meer duiding: https://palant.info/2022/...astpass-breach-explained/

Komt er op neer dat het toch een stuk ernstiger is dan LastPass het doet voorkomen. Voor mij reden genoeg om nu toch naar een alternatief te gaan kijken, mijn premium abo liep sws al in april af.

Sp3ci3s8472 @Jizzy • 25 januari 2023 13:02

Ben inderdaad deze week begonnen met de ellende... KeepassXC (heeft browser plugins) maar gepakt i.c.m. mijn eigen stackstorage om te syncen.
Heb ook gelijk het moment aangegrepen om mijn mail adres overal te veranderen gezien ik al een tijd af wilde stappen van big tech en het artikel van gisteren was de laatste push om af te stappen van gmail. Protonmail werkt tot nu toe erg goed en denk er zelfs over om voor een betaalde versie te gaan zodat ik mail aliasen kan gebruiken voor webshops en forums om dat af te scheiden.

Euronitwit

@Sp3ci3s8472 • 25 januari 2023 13:53

Waarom niet een eigen domeinnaam voor ca. €2,95 per mnd i.p.v. Ptotonmail voor €9,99 per mnd. Kan je net zoveel email adressen aanmaken als je wilt.

Sp3ci3s8472 @Euronitwit • 25 januari 2023 13:59

Omdat ik toch van sommige gemakken gebruik wil maken (maar heb niet genoeg uitgezocht om dat goed te beoordelen dus dat kan tussen mijn oren zitten). Met proton kan je voor 4 euro in de maand een eigen domein naam en 10 aliasen aanmaken wat voor mij meer dan voldoende is.

Euronitwit

@Sp3ci3s8472 • 25 januari 2023 14:06

hostinger.nl voor € 2,79 en ongelimiteerde emailadressen

Baardmeester @Sp3ci3s8472 • 25 januari 2023 14:16

Met Simplelogin(vorig jaar overgenomen door Proton) kun je trouwens nog eens 10 extra aliassen gratis maken.

Yggdrasil

@Sp3ci3s8472 • 26 januari 2023 13:39

Protonmail is een goede keuze. Maar gebruik wel direct je eigen domeinnaam nu je toch aan het wijzigen bent. Dan ben je vanaf nu onafhankelijk van wisseling van providers.

Sp3ci3s8472 @Yggdrasil • 26 januari 2023 14:05

Dank voor de tip, dat is inderdaad slim om te doen!

The Zep Man

Beveiliging en antivirus

@Sp3ci3s8472 • 25 januari 2023 15:17

Ben inderdaad deze week begonnen met de ellende... KeepassXC (heeft browser plugins) maar gepakt i.c.m. mijn eigen stackstorage om te syncen.

Overweeg Vaultwarden. Zelf te hosten en te gebruiken met Bitwarden clients (applicaties, browser extensies, ...).

NeFoRcE @Jizzy • 25 januari 2023 12:43

bron?

VeQVQUCjsxagUCH @NeFoRcE • 25 januari 2023 13:46

https://twitter.com/danie.../1615665391866445826?s=20

mjz2cool @VeQVQUCjsxagUCH • 25 januari 2023 15:29

De enige bron die hij heeft is iemand zonder bron. Klinkt niet zo betrouwbaar eigenlijk. Klinkt als paniek zaaien.

inorde

@mjz2cool • 25 januari 2023 15:59

Precies, de enige info die ik kon vinden toen deze Tweet vorige week tevoorschijn kwam was de bron die hij noemt. Deze "bron" is gewoon een opmerking en daaronder ook weer vragen van mensen voor een bron zonder antwoorden. Als dit reden is om in paniek te raken heb je nog wat te verduren met afvoerputjes zoals Twitter waar iedereen maar dumpt wat ie wil.

Nogmaals: ik zou zo snel mogelijk vertrekken bij LastPass en je wachtwoorden aanpassen, alleen al naar aanleiding van de communicatie van LastPass zelf. Als straks blijkt dat ze toch (weer) de ernst hebben onderschat heb je dan al aardig wat schade beperkt.

En gewoon zoveel mogelijk beschermen met MFA.

Th0rsten @VeQVQUCjsxagUCH • 25 januari 2023 15:43

Je bron is Daniel Verlaan.

een (tech) Journalist die Hackers en duistere zaken op het internet onder een vergrootglas legt en hier spannende verhalen van maakt om te verkopen in zijn boeken.

Hij heeft hier onderzoek naar gedaan als iemand zonder IT achtergrond.
hij kan goed schrijven en dingen spannend vertellen
Maar profiteert behoorlijk op het angstcultuur van de verhalen van Cybercrime.

Kijk zelf zou ik ook al weggegaan zijn bij lastpass maar niet door zijn advies.

localhost @Th0rsten • 25 januari 2023 22:46

Maar Daniel is de Mol, kan je hem dan wel vertrouwen?

Polderviking

@Jizzy • 25 januari 2023 13:25

de encrypted wachtwoorden die zijn buitgemaakt worden al gedecrypt

Dit heeft wel een bron nodig.

Jizzy @Polderviking • 25 januari 2023 14:28

Daniel Verlaan is over het algemeen goed ingevoerd: https://twitter.com/danie.../1615665391866445826?s=20

Polderviking

@Jizzy • 25 januari 2023 15:29

Hij retweet een andere tweet die eveneens zonder bron de ether in schiet dat er wallets geplunderd worden zonder verdere hoe en wat. (en dat zit jij dus ook hier te herhalen op basis van wat je breed genoemen van de tweeter vind)

Ik weet 't niet hoor maar als die vaults zomaar te ontgrendelen zijn is dat best een big deal en mag daar wel wat meer herrie over ontstaan.
Moet niet al te lichtzinnig (bijvoorbeeld met zo'n arbitrair tweetje) over gedaan worden. Op dit moment zit iedereen nog met de verwachting dat encryptie hun password data beschermd.
Als dat niet zo is veranderd dat de scope van de dreiging enorm.

Maar dat moet natuurlijk wel met een casus want een beetje arbitraire paniekvoetbal wordt ook niemand beter van.
Dus als die mensen meer weten, kom even door met die info zou ik zeggen, in plaats van alleen te tweeten dat ze iets weten.

[Reactie gewijzigd door Polderviking op 22 juli 2024 17:47]

DCB87 @Burkle • 25 januari 2023 12:20

Bitwarden is je grootste vriend.

vdws @DCB87 • 25 januari 2023 12:34

Dat valt nog te bezien: https://palant.info/2023/...w-server-side-iterations/

wpeterw @vdws • 25 januari 2023 12:59

Bitwarden (eigenlijk Vaultwarden) is een self-hosted oplossing daarmee ben je minder snel een target voor .hackers

sircampalot @wpeterw • 25 januari 2023 13:01

Ik denk dat de meeste mensen Bitwarden niet self-hosten.

vdws @wpeterw • 25 januari 2023 13:04

I know, maar de gemiddelde gebruiker (lees niet-tweaker) kan hier weinig mee.

TheMaurice @wpeterw • 25 januari 2023 13:28

Inderdaad, werkt als een trein in combinatie met Tailscale

xoniq @wpeterw • 25 januari 2023 15:42

Ik draai inderdaad ook Vaultwarden, en alleen bereikbaar middels mn WireGuard VPN. Periodiek verbinden om te syncen, verder gebruik ik op al mn devices de gesyncte lokale kluis.

RobertMe @vdws • 25 januari 2023 12:47

Bitwarden heeft intussen wel het aantal iteraties opgehoogd naar 600.000, de nieuwe aanbeveling van OWASP. Vaultwarden, een herimplementatie van het Bitwarden protocol (in Rust) heeft dit intussen ook over genomen. En wat ik uit de pull request en comments in de code doe opmaken wordt in ieder geval bij Vaultwarden ook de bestaande stuff opnieuw gehasht (/met het nieuwe aantal iteraties). Is het alleen de vraag of dat nu om server of client side gaat en dus hoeveel substantieel veiliger het daarmee is.

FerronN @RobertMe • 25 januari 2023 13:00

Ik host mijn vaultwarden lekker zelf en is niet ontsloten via het internet. Geeft mij toch het veiligste gevoel.

Xiz @FerronN • 25 januari 2023 13:26

Totdat je een keer vergeet updates te installeren, of er een zeroday in je router ontdekt wordt natuurlijk

FreshMaker @Xiz • 25 januari 2023 13:39

hé ja .... Of de wereld vergaat ...

Het gaat er niet om wát je doet, maar hoe belangrijk JIJ het zelf vindt.
@FerronN is niet verantwoordelijk voor de last van de wereld en haar ongemakken, alleen voor de zijne en misschien die van direct naaste.

Zelf combineer ik het off- en online, bitwarden ( en thuis Keepass als primaire database )
En als er veel aanpassingen gedaan zijn, exporteer ik al mijn data uit de databases ( Chrome en BW ) en importeer ze naar een nieuwe keepass-kdbx die ik tussen mijn reguliere backups wegschrijf.

Een werkje, maar zo blijven wel al mijn reg.keys, keyfiles en wachtwoorden (vziw) veilig opgeslagen

FerronN @Xiz • 25 januari 2023 15:22

Als er een zeroday in je router zit wil natuurlijk niet zeggen dat je vaultwarden meteen gehackt wordt...
Daarnaast krijg ik netjes mailtjes van Github bij nieuwe vaultwarden releases

vdws @RobertMe • 25 januari 2023 12:51

Ja, dat is de vraag inderdaad. Ik vraag mij ook af waarom er geen secret key functionaliteit zoals in 1password (https://blog.1password.com/what-the-secret-key-does/) wordt geïmplementeerd.

Yggdrasil

@RobertMe • 26 januari 2023 13:44

Hmm, waar zie je die wijziging? Ik zie in mijn vault nog steeds 100.000 iteraties. Volgens de documentatie is het ook nog 100.001: https://bitwarden.com/help/what-encryption-is-used/#pbkdf2

Ook staat hier dat het wijzigen van het aantal iteraties niet de hele vault opnieuw versleuteld: https://bitwarden.com/hel.../#changing-kdf-iterations

brabbelaar @vdws • 25 januari 2023 14:36

Dit is grotendeels een fictief probleem bij Bitwarden. Ten eerste moet men eerst je data hebben, ten tweede wordt de entropie in veel hogere mate bepaald door een goed wachtwoord dan door deze iteraties. Je data is niet in gevaar als je wachtwoord uit pak'm beet 12 karakters bestaat met variatie aan leestekens. Is je wachtwoord '1234' dan helpen ook 600.000 iteraties niet genoeg.

slechtvalk @vdws • 25 januari 2023 18:03

Je kan in de webvault de iteraties zelf verhogen naar 600000.

TD-er

@DCB87 • 25 januari 2023 12:28

In principe is elke online cloud storage van wachtwoorden een risico en volgens mij is ook Bitwarden daar niet tegen bestand.
En naarmate ze populairder worden, worden ze ook meer interessant voor derden die minder goede bedoelingen hebben.
Zeker als mensen crypto wallet toegang opslaan bij dergelijke services.

Zelfs KeePass is wat dat betreft een risico als je je KeePass file in een cloud opslaat.

moonlander @TD-er • 25 januari 2023 12:36

Ook lokaal opslaan is een risico, en ik denk dat het risico met lokaal opslaan nog groter is dan dat het op de cloud staat. En dan heb ik het over mensen die geen idee hebben hoe ze het moeten doen qua beveiliging, zelfs mensen die wel verstand van zaken hebben zullen vaak de boot missen. Denk dat een grote cloud dienst meer mensen van kennis hebben op het gebied van security. Het is niet alleen installeren en dat je dan veilig zit.

cyclone @moonlander • 25 januari 2023 12:45

Denk dat een grote cloud dienst meer mensen van kennis hebben op het gebied van security.

Euh lees het artikel nog eens zou ik zeggen.

Behalve dat je wellicht wel gelijk hebt is een grote cloud dienst vele malen interessanter (want grote buit als je eenmaal binnen bent) voor hackers / criminelen.
En lokaal opslaan is een risico, maar geef mijn 1 methode van het werken met wachtwoorden die zonder risico is.
Naar mijn (bescheiden) mening bestaat die niet.
Ook ik heb een tijdje LastPass gebruikt maar voelde me toch niet senang erbij en ben overgestapt naar een ander niet cloud product.

Want hoe betrouwbaar een producent / vendor ook mag lijken deze casus bij LastPass toont maar weer aan hoe scheutig men is met het naar buiten brengen van de werkelijke feiten als men gehacked is.
Gezien dit economische gevolgen heeft zal men altijd zo min mogelijk kenbaar maken en is jouw belang als klant ondergeschikt aan het economische belang van de dienst die je gebruikt

En met dat in het achterhoofd houd ik zaken graag in eigen handen, vertrouwens is immers goed, controleren is beter :-)

SunnieNL

@cyclone • 25 januari 2023 20:11

Risico van lokaal opslaan is weer dat je ook verantwoordelijk bent voor HA uitvoeren, backups, restores, updates, etc.

Tintel @moonlander • 25 januari 2023 13:33

Dat risico wat jij beschrijft is dus niet echt een technisch risico. Dat ligt vooral bij de gebruiker/eigenaar van de passwords.
Want lokaal opslaan betekent:

zolang het enkel op je werkstation staat dan is het dus vermoedelijk geen '24/7 active' apparaat
gebruik van vault software is geen probleem
verspreiding van de data ligt helemaal bij jezelf
je kan zelfs een USB stick gebruiken om de vault op te slaan
kleine 'buit'

Audiowaste @TD-er • 25 januari 2023 12:38

Met dat verschil dat heel veel mensen Bitwarden op een eigen server hebben draaien, wat bij LastPass niet mogelijk is. Als er al een datalek bij Bitwarden is, dan worden alle self-hosted Bitwarden instanties niet geraakt.

anboni @Audiowaste • 25 januari 2023 13:01

Aan de andere kant is de kans bij die self hosted instances natuurlijk weer aanzienlijk groter dat de security fundamenteel niet op orde is. Ik ben professioneel bezig met hosting diensten en ik peins er eigenlijk niet over om Bitwarden of Vaultwarden zelf te gaan hosten, simpelweg omdat a. ik grotendeels niet genoeg geef om beveiliging van m'n thuisnetwerk en b. de producten die ik in m'n thuisnetwerk gebruik domweg niet van hetzelfde niveau zijn als de producten die ik voor m'n werk gebruik.

Ik ben steeds meer aan het bewegen naar een min of meer duale opzet: ik gebruik een lokale keepass database voor sites die belangrijk zijn of waar geld mee gemoeid is (email, bank, crypto, shopping, bitwarden) en een online bitwarden database voor alles waar ik gemak belangrijker vind.

Audiowaste @anboni • 25 januari 2023 13:52

Een self-hosted instance van Bitwarden/Vaultwarden beveiligen is voor mij juist enorm simpel, zorgen dat de instance niet te benaderen is van buitenaf maar alleen intern. De verschillende extensies/apps die ik heb geïnstalleerd synchroniseer ik dan op de momenten dat ik thuis ben.

xoniq @Audiowaste • 25 januari 2023 15:44

op de momenten dat ik thuis ben

Verder hetzelfde als jou, behalve dat ik dit ook nog wel eens via een VPN doe. Heb een VPN thuis draaien waarmee ik af en toe verbind om data binnen te harken op m'n telefoon.

berchtold @DCB87 • 25 januari 2023 12:46

1password

WaterFire @DCB87 • 25 januari 2023 13:44

Ah, daar is de Bitwarden respons..18 minuten na plaatsen van het bericht. Dat moet sneller kunnen!

dutchminator @Burkle • 25 januari 2023 12:21

Ze hebben 1 taak, je vault veilig houden, en dat verprutsen ze in epische proporties. Waarom zou je blijven?

CH4OS

Beveiliging en antivirus

@dutchminator • 25 januari 2023 13:29

Dit gaat over dezelfde hack van eind vorig jaar, waar nieuwe informatie aan het licht is gekomen. Dit is niet een nieuwe hack binnen LastPass.

Yggdrasil

@CH4OS • 26 januari 2023 13:46

Desalniettemin zijn er nieuwe details naar boven gekomen die aantonen dat hun beveiliging slechter was dan al bekend was. Dat is waar het om gaat.

CH4OS

Beveiliging en antivirus

@Yggdrasil • 26 januari 2023 13:49

Dat er meer informatie gelekt is dan voorheen bekend was, betekend niet automatisch dat de beveiliging slechter was natuurlijk. Die twee staan in elk geval niet echt in relatie tot elkaar.

Yggdrasil

@CH4OS • 26 januari 2023 13:57

Voor ons als eindgebruikers, die een geïnformeerde keuze moeten maken over het wel of niet blijven gebruiken van een dienst, is die informatie juist wel essentieel. Het is goed dat GoTo zelf met deze informatie naar buiten komt maar zorgwekkend dat de scope telkens groter blijkt te zijn dan eerder gecommuniceerd was. Telkens opnieuw moeten wij als gebruikers maar aannemen dat dit alles is.

CH4OS

Beveiliging en antivirus

@Yggdrasil • 26 januari 2023 14:00

Ik vind het anders best bedenkelijk dat een bedrijf als GoTo dit soort nieuws juist in delen naar buiten brengt elke keer. Dat doet de geloofwaardigheid van het bedrijf geen goed.

Yggdrasil

@CH4OS • 26 januari 2023 14:31

Dat bedoel ik.

nicksn @Burkle • 25 januari 2023 13:17

Ik ben vorige week volledig overgegaan met mijn hele familie naar 1Password.

Had ik veel eerder moeten doen. Een echte aanrader!

FreshMaker @nicksn • 25 januari 2023 13:47

Ik ben vorige week volledig overgegaan met mijn hele familie naar 1Password.

Ik ben jaloers ....
Mijn familie klimt al in de spreekwoordelijke boom als Microsoft besluit en kleurtje te veranderen, of als Netflix zijn UI aanpast.
Nee, veranderen van een toepassing moet echt gebeuren omdat 'het totaal onbereikbaar is' of er ineens (veel meer) euro's moeten worden weggelegd.

Nee, ik heb het een paar jaar voor elkaar gekregen dat men van Keepass overstapte naar Bitwarden.
En de grootste reden was omdat het dan ook op de telefoon vlekkeloos werkte.

nicksn @FreshMaker • 25 januari 2023 13:52

Stap voor stap aan de hand meenemen. Helaas, het heeft even wat tijd gekost maar nu heeft iedereen lekker zijn eigen security kit in beheer en weer een veilig gevoel. Het ligt eraan hoe je het verkoopt, en hoeveel energie/tijd jij er zelf in wilt steken om andere te helpen.

Ik kan me voorstellen dat zodra vrienden/familieleden of kennissen een bepaalde instelling hebben dat jij ook kan denken.. 'jammer'.

Pick your battles. De aanhouder wint! Succes

FreshMaker @nicksn • 25 januari 2023 13:59

Ik kan me voorstellen dat zodra vrienden/familieleden of kennissen een bepaalde instelling hebben dat jij ook kan denken.. 'jammer'.

Pick your battles. De aanhouder wint! Succes

Vooralsnog hoeft er niemand weg bij Bitwarden, dus dat scheelt

da's een slag die niet gevoerd hoeft te worden ( nog niet )
Maar daarnaast is tijd een factor, de dagen dat ik 'met liefde' systeembeheer en beveiliging op me nam voor iedereen en zijn (letterlijke) buurman is voorbij.
Zoveel tijd heb ik ook weer niet voor liefde en oud papier, want er is géén hond die denkt "hij is 3uurtjes met mijn PC bezig, ik zal hem eens (voorbeeld) 20€ toestoppen."
Nee - het is jouw hobby toch ?

Nee, in andermans zooi wroeten om die foto's uit 2008 terug te vinden is niet eens voor mijzelf een hobby, laat staan voor een wildvreemde

Dus nee, geen aanhouder hier, gratis advies kan je krijgen, een linkje naar het hoe en wat in 10 stappen en daarna trek je je plan maar

Alleen een paar familieleden en natuurlijk de schoonmoeder ... want een blije schoonmoeder is een blije wederhelft

nicksn @FreshMaker • 25 januari 2023 14:01

Idem! Ik doe dat alleen nog maar voor familie en vrienden. Anders krijg ik er simpelweg 400 euro voor onder het mom van consultancy.

Wel fijn dat je bij Bitwarden zit! (for now) gnagna. De tijd zal het leren.

Polderviking

@nicksn • 29 januari 2023 11:19

Stap voor stap aan de hand meenemen.

Als ze je adviezen in de wind slaan moet je het ze lekker zelf laten uitzoeken.

Bzzje @Burkle • 25 januari 2023 12:23

If you were waiting for a sign; this is it.

Voor mij was de definitieve trigger het lakse statement over hun laatste breach "Als je je aan al onze best practices hebt gehouden hoef je niets te doen"
(Als je je niet aan AL hun best practices hebt gehouden (wat waarschijnlijk dus 95% van onze klanten is) moet je zsm al je wachtwoorden, backupcodes en 2FA (want die maakt een backup IN lastpass vault) wijzigen. )

Joecatshoe @Bzzje • 25 januari 2023 13:17

Als je je aan al onze best practices hebt gehouden hoef je niets te doen

Dat hun communicatie beter kon ben ik mee akkoord, maar wat ze hier zeggen is gewoon correct. Bij het gebruik van een wachtwoordmanager moet je er altijd van uit gaan dat je encrypted vault ooit in de verkeerde handen kan vallen. En net daarom dat je je aan die best practices moet houden (= sterk en uniek masterwachtwoord), want dan is er niets aan de hand.

Bzzje @Joecatshoe • 25 januari 2023 14:20

Ja en Nee.
Ja technisch/juridisch/whatever hebben ze vast gelijk.
Nee, wat mij betreft geeft dat statement aan dat je vooral aan je eigen hachje denkt en niet aan die van je klanten, door alleen tussen de regels door aan te geven dat er grote issues zijn als je niet 100% gedaan hebt wat de adviezen zijn. Prima dat een bedrijf dat doet, maar voor mij was dat de druppel.
Wat mij betreft is geen enkel bedrijf en persoon foutloos; het draait om hoe iemand met fouten omgaat.

Ik heb met diverse mensen, zowel technisch als niet-technisch, gesproken over hun statement en velen daarvan waren overtuigd dat er niet zo veel aan de hand was, "want er wordt toch gezegd dat je geen actie hoeft te ondernemen?"
En evenzo over het punt dat je het dus niet oplost door je masterwachtwoord te wijzigen, want ze hebben een kopie van de dataset, die dus versleuteld is met je oude wachtwoord.

Klauwhamer @Burkle • 25 januari 2023 12:21

Waarom twijfel je nu nog, vraag ik mij af? Hoeveel breaches en hacks moeten er nog volgen voor je wél over de streep bent? Ik begrijp niet dat veel mensen zo'n hoge tolerantie hebben voor dit soort catastrofale fuckups van bedrijven. Ik begrijp evenmin dat er nu vast weer een legertje opstaat dat de boel probeert uit te leggen als "Ach, maar er is defacto toch niets gebeurd!" of "Maar X en Y zijn ook niet 100% veilig!" -- Allemaal totaal onbelangrijke dooddoeners voor mij.

Techno Overlord @Burkle • 25 januari 2023 12:52

Ik heb mijn LP account zojuist compleet verwijderd. Ik heb er geen vertrouwen meer in want ze komen idd veel in het nieuws.

Stoelpoot @Burkle • 25 januari 2023 12:57

1 van de oudste wachtwoordmanagers op de markt, relatief recent door een overname gegaan naar een niet 100% clean bedrijf, en lange tijd de grootste op de markt geweest of is het nog steeds. LastPass is een groot doelwit die daar gek genoeg totaal niet op voorbereid lijkt te zijn.

Overigens zou ik sowieso niet blijven als ik jou was, de featureset loopt in mijn ervaring achter bij concurrenten en is algeheel onduidelijker dan bvb een 1Password.

fire-breath @Burkle • 25 januari 2023 13:17

Ongetwijfeld zullen mensen je adviseren om naar bepaalde partijen over te stappen.
Maar ongeacht waar je zit en/of hoe je het beheer regelt, loop je altijd tegen bepaalde problemen en risico's aan. Geen enkel pakket is onkwetsbaar voor hacking.

Hoenens @Burkle • 25 januari 2023 14:02

Weg daar! zsm! Ik ben naar 1Password gegaan, voelt meteen een heel stuk beter.

Alxndr

@Burkle • 25 januari 2023 15:17

..ook al bagatelliseerde het bedrijf de situatie eerder.

Alleen al op basis daarvan zou ik 'ja' zeggen. Op het moment dat je core-business misloopt en je je klanten 'in gevaar' brengt dien je het zekere voor het onzekere te nemen, het tegenovergestelde van wat zij blijkbaar doen.

Ik zou graag een meer japanse attitude zien, waarbij de baas huilend bijna letterlijk door het stof gaat en om vergiffenis vraagt. Maar nee, degene die verantwoordlijk is kan waarschijnlijk gewoon alsnog zijn vette bonus verwachten aan het einde van het jaar.

GreasyAce @Burkle • 25 januari 2023 15:50

Eens, ik ben er zopas weggegaan, mooi naar Bitwarden. Dit was voor mij de zoveelste keer een hack of lek dat ik er geen vertrouwen meer in heb.

Mathijs22 @Burkle • 25 januari 2023 16:48

Ligt het aan mij of is LastPass in tegenstelling tot concurrenten de laatste tijd de sjaak? Met zoveel meldingen twijfel ik of ik moet blijven of niet.

Twijfel niet langer... LastPass heeft het voor zichzelf totaal verziekt. De gehele database met daarin deels niet encrypte data is op dit moment te koop.

Mayonaise @Burkle • 25 januari 2023 19:15

Dit was te verwachten na de overnamen door Logmein. Deze onderneming heeft vaker in het nieuws gestaan, met name producten die ze overkopen en dan in de soep gooien.

Nu zijn ze natuurlijk van naam verandert naar Goto om toch nog die reputatie te resetten, maar er lijkt daar wel een structureel probleem te zijn. Ik ga ervan uit dat het manager in strakke pakken zijn die strakke deadlines opdringen aan hun developers en weinig kennis van security hebben.

biteMark @Burkle • 25 januari 2023 19:18

Eerlijk gezegd is die twijfel bij mij nu wel weg. Gelukkig zelf nooit gebruikt maar mensen in mijn omgeving raad ik allemaal aan om over te stappen, des te meer omdat er steeds maar langzaamaan meer duidelijkheid komt over de hack. Niemand schijnt echt te weten (of durft te zeggen) wat er allemaal is gebeurt, waar de hackers precies toegang tot hebben (gehad) en hoe gevaarlijk dit precies is. Zo bleek bijvoorbeeld al vrij snel dat “bepaalde gegevens” slecht of onversleuteld werden opgeslagen in je kluis, dan is mijn vraag: hoe makkelijk is de rest te ontsleutelen? Niemand is daar erg duidelijk over, voor hetzelfde geld komt over een tijdje naar buiten dat wachtwoorden wellicht tóch te ontfutselen zijn aan de kluis.

1Password daarentegen geeft juist heel veel openheid over hoe hun beveiliging werkt en door het gebruik van zowel een privé-sleutel als een wachtwoord icm behoorlijke encryptie wil ik er best op vertrouwen dat die gegevens niet zo makkelijk gekraakt worden, al worden versleutelde gegevens van de servers gestolen door hackers.

niekkes @Burkle • 26 januari 2023 10:52

Ik ben in december overgestapt toen bleek dat ook de vaults buit gemaakt waren. Het feit dat ze dat niet eerder hadden genoemd en ook niet wanneer, welke backups dat dan zijn van welke datum? Weinig informatie, verder geen berichten of updates. Enige update die nu komt is dat blijkt dat er NOG MEER gehacked was.

Als je hoofdwachtwoord niet goed genoeg was dan ligt je spul sowieso op straat. Op twitter zijn genoeg mensen die hun accounts zijn verloren door deze hack. Hun eigen schuld dat het hoofdwachtwoord te kort en te simpel was, echter het is LastPass te verwijten dat ze zo lang gewacht hebben om te melden dat de vaults zijn gestolen.

Ik ben nog steeds aan het overstappen. De belangrijkste accounts eerst, nu nog wat accounts die niet zoveel uit maken, maar moet wel gebeuren. Dit bericht bevestigd voor mij dat ik de juiste keuze heb gemaakt.

Hatseflats @Burkle • 25 januari 2023 19:42

Nou ja, wat een overdreven reactie, zeg.

Een betere vraag zou zijn wie er nog niet gehekt is. Bij wie kan ik mijn bedrijfsgeheimen & IP e.d. en dergelijke dan stallen? Je moet het ze wel gemakkelijk maken om dingen te hekken en stelen.

Het is natuurlijk niet zo dat er geen grote economische belangen op het spel staan. Of bedrijfsspionage onder het mom van hekken. Of gewoon alles stallen bij cloud providers die grotendeels Amerikaans zijn. Dat zijn onze vrienden, die kun je vertrouwen, dat hebben ze wel bewezen.

Nee, ik zeg, alles online gooien, dan ben je er maar vanaf.

[Reactie gewijzigd door Hatseflats op 22 juli 2024 17:47]

Pathogen 25 januari 2023 12:06

En nu maar hopen dat ze netjes mijn gegevens hebben verwijderd toen ik ben gestopt met Lastpass gebruiken...

CH4OS

Beveiliging en antivirus

@Pathogen • 25 januari 2023 12:12

Stoppen met gebruiken is natuurlijk niet gelijk aan een verzoek indienen dat je gebruik wil maken van het recht om vergeten te worden, als zij daarop aannames zouden doen lijkt mij ook best gevaarlijk. Dus grote kans dat de data er nog is als je daar niet om gevraagd hebt. Maar het gaat hier dan weer wel om de andere producten van het moederbedrijf, niet LastPass zelf.

CC: @Clashmaster

[Reactie gewijzigd door CH4OS op 22 juli 2024 17:47]

dutchminator @CH4OS • 25 januari 2023 12:21

Bij het verwijderen van je LP account geeft de interface wel tot driemaal expliciet aan dat ze al je data verwijderen. Dus de verwachting is wat dat betreft wel terecht.

CH4OS

Beveiliging en antivirus

@dutchminator • 25 januari 2023 12:23

Ja, bij het daadwerkelijk verwijderen van het account, maar dat is wat anders dan stoppen met het gebruiken van LP.

[Reactie gewijzigd door CH4OS op 22 juli 2024 17:47]

Zer0 @CH4OS • 25 januari 2023 12:35

Tja, als je stop met gebruiken, maar niet het account verwijderd kun je niet verwachten dat de data verwijderd is.

CH4OS

Beveiliging en antivirus

@Zer0 • 25 januari 2023 13:33

Precies mijn punt.

Mars4i @dutchminator • 25 januari 2023 12:50

Maar verwijderen ze de data ook uit backups. Ze hebben het hier over encrypted backups.

Geen idee hoe backups werken bij dit soort grote bedrijven. Zijn dit backups zijn die regelmatig synchroniseren met de master of zijn dit offline backups.

Offline backups lijken me handig voor bescherming tegen ransomware aanvallen. Maar in offline backups zullen je oude gegevens wel een tijdje blijven staan, ook als je je account opheft.

Alerdene @Mars4i • 25 januari 2023 14:28

Dat is ook info die ik nog niet duidelijk terugvind. De hack zou in november plaatsgevonden hebben, maar van hoe ver terug dateert de informatie in de backups...

naaitsab @dutchminator • 25 januari 2023 12:48

Het is maar de vraag in hoeverre dat ook daadwerkelijk gebeurt en niet terug te halen valt. Het blijft een Amerikaans bedrijf welke zich aan Amerikaanse wetgeving moet houden. Verwijderde Youtube video's bijvoorbeeld worden ook niet (altijd) daadwerkelijk verwijderd van de server. Linus Tech Tips gaf hier enige tijd geleden nog commentaar op dat bij een 'channel restore' alles terugzet was, ook door hem verwijderde video's.

Of verwijderen ook daadwerkelijk echt permanent verwijderen is blijft een kwestie van vertrouwen richting de dienst. Daar kom je nooit achter tenzij er een gerechtelijk onderzoek plaatsvind.

gavinz @Pathogen • 25 januari 2023 12:27

Lijkt me niet nodig voor Lastpass om al je data te bewaren, als ze dat voor iedereen gaan doen kost het hun alleen maar opslag en wat krijgen ze ervoor terug?

Je account verwijderen is natuurlijk wat anders als niet meer gebruiken, zo lang jij nog kan inloggen besta je nog in hun systemen.

Aardwolf

@gavinz • 25 januari 2023 14:34

Zijn die paar kilobytjes aan kale teksten per account het grootste deel van hun kosten of het verlenen van support en "updates"? Vermoed zo dat oude accounts ze niet erg veel kost*. Hooguit dus mogelijk op termijn reputatieschade als de boel alsnog op straat ligt.

*tenzij je ook bijlagen kon uploaden natuurlijk. Ik ken LP verder niet, alleen van naam.

Clashmaster @Pathogen • 25 januari 2023 12:09

Ik heb exact hetzelfde gevoel. Alles afgesloten en gewist, maar of zij dan ook effectief alles netjes doen da's maar de vraag...

anboni @Pathogen • 25 januari 2023 12:49

Aangezien er ook (misschien zelfs vooral) backupdata is gelekt, zou ik er eerlijk gezegd vanuit gaan dat je gegevens mogelijk ook gelekt zijn en daar dus naar handelen: wachtwoorden wijzigen van sites waar gegevens op staan waar je om geeft.

OverSoft @Pathogen • 25 januari 2023 12:51

Als je je account hebt opgezegd, heb je het volgende mailtje gekregen:

Hello xxx@xxx.xxx,

Your LastPass account has been permanently deleted and all of your data has been purged from our systems.

...

Ze ZEGGEN dus wel dat alles verwijderd is, maar in hoeverre dat ook daadwerkelijk is gebeurd is natuurlijk nog maar de vraag.

Ventieldopje 25 januari 2023 12:13

Nou, als dit na al die hacks nog geen massale leegloop veroorzaakt dan weet ik het echt niet meer. Blijf je dan klant dan heb ik echt geen medelijden met je als de boel op straat ligt, wat een totale grap dit

Crew One @Ventieldopje • 25 januari 2023 12:32

Maar al vertrek je vorige maand; die boel ligt toch al op straat.

Niet dat ik nog zaken wil doen met die toko, daar niet van. Maar op dit moment (als ik klant zou zijn) zou ik vertrokken zijn omdat ze gewoon niet te vertrouwen zijn.

System @Crew One • 25 januari 2023 13:21

idd, mijn belangrijkste wachtwoorden zoals Google en Microsoft en zo zijn al gereset.
Ik heb overal MFA aan staan waar het kan en lastpass bezit mijn recovery keys niet.
Dus op zich denk ik wel dat het ok zit.
Wel extra waakzaam zijn voor MFA meldingen en social engineering de komende jaren.

System @Ventieldopje • 25 januari 2023 13:19

Gehackt worden is één ding, maar ik krijg de indruk dat ze er geen lessen uit trekken.
Net dat is de reden om er te vertrekken.
In andere gevallen is een dienst die in het verleden gehackt werd vaak veel veiliger dan een dienst die dat nog niet doorgaan had gezien die lessen trekken en de beveiliging opschroeven.
Maar Lastpass heeft het wel erg bont gemaakt.
Je moet bijna gek zijn om vandaag voor Lastpass te kiezen als je op zoek bent naar een password manager.

Ventieldopje @System • 25 januari 2023 14:53

Precies, na elke hack verbaasde ik me er mee over maar telkens bleven ze zich schuilen achter "maar de decryptie keys zijn veilig". Die vlieger gaat nu niet meer op, niemand gelooft dat toch nog.

In de wijze woorden van Mohammed Saeed al-Sahhaf, "There are no American troops in Baghdad!"

Hiroj 25 januari 2023 12:51

Toevallig sprak ik gisteren een vriend van mij, waar het bij zijn werkgever mede door deze hack goed mis was. Het complete bedrijf leunde op LastPass om wachtwoorden onderling te kunnen delen, en wellicht kun je al raden wat er nu gebeurt is daar.

Erg zuur hoe GoTo hiermee om gaat en deed alsof het allemaal niet veel voorstelt.

eonflux @Hiroj • 25 januari 2023 13:07

Jammer, maar dit zat er aan te komen. Ik heb ook een kennis die alles van de bedrijfsvoering en derde wachtwoorden in Lastpass opsloeg. Jaren geleden zei ik al dat hij echt wat anders moest gebruiken. Het is niet of het gaat gebeuren maar wanneer het gaat gebeuren. Ik gaf hem zelf nog een beter alternatief: Enpass. We kregen bijna ruzie omdat hij me paranoïde vond. Nu heeft hij ook een giga probleem met zijn klanten.

Ron!n @Hiroj • 25 januari 2023 16:01

wat ik tot nu toe begrijp is dat klanten die SSO gebruiken niet zijn getroffen (want geen master password), ik ben benieuwd of ik hier op kan vertrouwen of niet..

uNoTopia 25 januari 2023 13:02

Erg frustrerend om te lezen dat LastPass niet goed zijn gebruikers heeft ingelicht. Ik heb een uniek hoofdwachtwoord met 16 tekens met hoofdletters, kleine letters en symbolen. Moet ik mij nou wel of geen zorgen maken?

JEightyFive @uNoTopia • 25 januari 2023 13:38

Ik voldoe zelf ook aan de eisen van het hoofdwachtwoord en heb 2FA ingeschakeld maar ik vertrouw het niet meer. Ik ga de boel wel overzetten naar KeePass of een ander.
Wordt wel even een klote werkje om ook alle wachtwoorden te wijzigen maar het is voor een goed doel.

Supernatural C @uNoTopia • 25 januari 2023 14:40

16 karakters, dat duurt wel even om te bruteforcen. Niet realistisch dat dat in ons leven gebeurt. Er vanuit gaande dat ze moeten bruteforcen althans. Linksom of rechtsom lijkt de steeds maar erger wordende hack genoeg reden om in elk geval alles aan te passen wat je in je lastpass vault hebt staan.

HollowGamer 25 januari 2023 12:09

November 2022.. en nu pas melden.

TD-er

@HollowGamer • 25 januari 2023 12:20

Niet om het goed te praten, maar ik had het idee dat ze nog steeds aan het graven zijn om de implicaties te kunnen duiden van die hacks.
Ook lijkt het erop dat het best wel een tijd duurde voor ze doorhadden dat er data toegankelijk was voor anderen (lees: de inbrekers).

Zou dus maar zo kunnen dat naarmate ze verder graven in deze beerput, er steeds meer naar boven komt.

Ikzelf zit er sterk over te denken om alles weg te halen bij Lastpass en alle extern *) benaderbare wachtwoorden alvast te veranderen en niet in LP op te slaan.

*) Interne wachtwoorden, zoals van lokale switches enzo, zijn iets minder dringend.

Ben al lang blij dat bepaalde wachtwoorden niet opgeslagen zijn per host, maar meer onder algemene termen zoals "VPN <X>" met een voor mij herleidbare afkorting.
Dan heb je alsnog een username, en VPN config nodig, al dan niet met een certificaat.
Valt uiteraard nog steeds onder "security by obscurity", maar is in elk geval al een stuk minder waarschijnlijk om misbruikt te worden in allerlei scripts.

Beetje off-topic, maar nu we toch over LastPass bezig zijn...
Wat een extreem beroerde update van de browser plugin hebben ze laatst uitgerold.
Default vult 'ie nu je credentials al in. Gelukkig zag ik dat net op tijd, want toen ik een spammer wilde bannen van een forum, had Lastpass mijn username ingevuld. Geen idee of je jezelf kunt deleten in phpBB, maar de gevolgen hadden best wel vervelend kunnen uitpakken.
Ze gaan dus ook qua functionaliteit hard achteruit de laatste tijd.

jaapzb @TD-er • 25 januari 2023 12:54

Automatisch invullen zit al heel lang in lastpass en kan je uitzetten via de voorkeuren van de extensie

TD-er

@jaapzb • 25 januari 2023 12:59

Ik had het uitstaan, maar met de laatste update vult 'ie dat dus overal in.
Ook in velden die niets met een wachtwoord of username te maken hebben.

En niet alleen invullen, ook overschrijven van velden.

Alxndr

@TD-er • 25 januari 2023 15:24

Ik kan jouw reactie niet rijmen met het artikel waar staat dat

Er is veel kritiek op de manier waarop GoTo dat datalek afhandelde. Het bedrijf moest meer dan eens nieuwe onthullingen doen, waaruit bijvoorbeeld bleek dat er toch wachtwoorden zijn gestolen en dat die toch minder goed beveiligd waren dan gedacht, ook al bagatelliseerde het bedrijf de situatie eerder.

Wat is het tegenovergestelde van bagatelliseren? Dat is wat bedrijven bij data-lekken moeten doen!

Een password is nog wel te veranderen, maar andere (personlijke) data niet. Zodra je telefoonnummer, adres, bankrekening of wat dan ook op straat ligt, wat kun je doen dan? Een nieuw nummer nemen? Verhuizen? Overstappen naar een andere bank?

TD-er

@Alxndr • 26 januari 2023 00:41

Ik kan jouw reactie niet rijmen met het artikel waar staat dat

Hmm ik snap even niet waarom dit als reactie op mijn post zou moeten zijn?
Ik geef toch nergens aan dat ze het goed aanpakken?
Alleen opper ik een reden voor de relatief late meldingen dat ze al gravende erachter komen hoe erg de poep de ventilator geraakt heeft.
Dat maakt het IMHO eigenlijk alleen nog maar erger, dat ze eigenlijk geen idee hebben wat er nu eigenlijk gebeurd is.

Kortom, waar is mijn reactie niet te rijmen met het artikel?

haagsepracht 25 januari 2023 14:27

Onlangs automatisch met een jaar verlengd bij Lastpass... Heb ik enige kans om m'n geld terug te krijgen als ik tabee zeg tegen hun dienst vanwege de hack van onlangs en het risico dat dat oplevert voor mij?

Locolau @haagsepracht • 25 januari 2023 14:32

Mailtje sturen kan altijd, of terugboeken / storneren.

haagsepracht @Locolau • 25 januari 2023 14:57

Ja, waarom ook niet. Eerst maar eens over naar een andere oplossing en daarna zal ik eens een poging wagen.

Edit: werd zojuist gebeld door Lastpass. Was uiteraard, geheel zoals verwacht, niet mogelijk om geld terug te storten. Non-refundable blablabla. Snel weg bij deze partij.

[Reactie gewijzigd door haagsepracht op 22 juli 2024 17:47]

Crusher77 @haagsepracht • 25 januari 2023 22:49

Overstappen naar 1Password. Die komen je tegemoet in kosten als je overstapt van een concurrent.

haagsepracht @Crusher77 • 26 januari 2023 13:45

Heb ze zojuist een berichtje gestuurd. Ik ben benieuwd.

AlfABetA 25 januari 2023 14:55

Ik wil hier niets goed praten wat er gebeurd is, maar ik denk hier toch wat anders over. Heel veel bedrijven worden gehackt, zoals school verenringen, hoogstaande bedrijven, gemeentes, enz. Al deze hebben meestal top ICT bedrijven achter zich staan die de hele veiligheid op zich nemen, tot en met de hardware toe.
Zelfs dan zijn ze niet veilig voor hacks, zoals je bijna dagelijks kunt lezen. Wat wel belangrijk is hoe open iedereen is over zo'n hack, zeker als er derde partijen bij betrokken zijn.
Om terug te komen op de lastpass hack, ja dat is natuurlijk niet goed, maar de communicatie was in mijn geval niks mis mee. Voor mij is het belangrijk dat na zo'n hack, wat een bedrijf er aan gaat doen. Ik neem dus aan, omdat lastpass niet weer zo'n hack zich kan veroorloven, en dus er alles aan gaat doen om dit vertrouwen te herstellen bij hun klanten. Dus raak ik niet in paniek, en verwacht van zo'n bedrijf dat ze betere maatregelen nemen, en dat ze er iets van leren, willen ze nog iets op deze markt te zoeken hebben.

Kijk, ik weet nu dat een service die ik gebruik gehackt is. Zou ik bijvoorbeeld iets zelf hosten, zou ik misschien nog niet eens weten dat ik gehackt ben, en dat iemand op mijn netwerk bezig is. Ik neen ook aan dat bij mij alles in orde is, maar dat denken bedrijven en instanties ook. Hackers maar ook crackers, zijn continue bezig om maar ergens een gaatje te vinden, en als ze dat doen, kun je natuurlijk van dienst wisselen, of je kunt denken, dat ze hun security nog beter gaan maken, en blijven. Maar dat is natuurlijk iedereen zijn keuze. Maar natuurlijk neem ik wel voor de zekerheid maatregelingen die ik zelf kan doen, zoals hoofdwachtwoord, en de aller belangrijkste wachtwoorden te wijzigen.

LurkZ @AlfABetA • 25 januari 2023 18:47

Ik wil hier niets goed praten wat er gebeurd is, maar ik denk hier toch wat anders over. Heel veel bedrijven worden gehackt, zoals school verenringen, hoogstaande bedrijven, gemeentes, enz.

Het hele bestaansrecht van LP is security, dat van bv een gemeente is heel anders.

Al deze hebben meestal top ICT bedrijven achter zich staan die de hele veiligheid op zich nemen, tot en met de hardware toe.

Even top als LP. Marketing en hoge tarieven staat niet gelijk aan kwaliteit.
Buiten dat is LP een kleine overzichtelijk dienst. Dat zou veel beter te beveiligen moeten zijn dan bedrijven die veel/complexe diensten aanbieden.
Bij LP spelen 2 dingen:
a] Ze zijn te hacken. Blamage, maar niet extreem problematisch.
b] "ook decryptiesleutels zijn gestolen". Dat is extreem slecht. Enorme ontwerpfout.

AlfABetA @LurkZ • 25 januari 2023 19:41

"Het hele bestaansrecht van LP is security, dat van bv een gemeente is heel anders."
beetje raar dit, Ook al zijn dit van mij voorbeelden, maar daar heb je het goed mis. Data van een gemeente kan ne zo belangrijk zijn als iemand zijn wachtwoorden. Zeker hoogstaande bedrijven met gevoelige data moeten net zo secure zijn als een bedrijf als Lastpass.

"Even top als LP. Marketing en hoge tarieven staat niet gelijk aan kwaliteit."
Daar ging deze discussie niet over.

Een bedrijf wat gevoelige data moet gewoon zorgen dat de beveiliging in orde is. Maar niet alles is te overzien. Als je een firewall plaats in je bedrijf van bv van Cisco, dan vertrouw je erop dat Cisco de software op de firewall in orde heeft. Maar ook deze worden vaak geüpdate met nieuwe firmware, die bepaalde functies toevoegen, maar ook de bugs en security holes moeten dichten. En dat is dan nog maar over 1 hardware apparaat in je bedrijf, laat staan al de andere hardware en software die men gebruikt. Dus er kunnen velen factoren in je bedrijf zijn die beveiliging issues kunnen veroorzaken, waar je niet altijd zelf de controle over hebt. Net als je denkt dat je alles op veiligheid in orde hebt in een bedrijf, is dat meestal al je eerste denk fout.

Ventieldopje @AlfABetA • 25 januari 2023 23:28

Je steekt of je hoofd in het zand óf je hebt het nieuws omtrent LP niet gevolgd. Ze maken er al jaren een potje van en na elke hack is er dramatisch slechte communicatie. Normaal leer je van je fouten zou je denken maar zij geven klaarblijkelijk meer om je geld binnen te harken dan om hun security.

AlfABetA @Ventieldopje • 26 januari 2023 00:22

Zo te lezen uit je reactie weet jij er alles van wat daar gebeurd is. Ik heb duidelijk gezegd dat ik het niet goed praat wat er is gebeurd. Er zijn genoeg alternatieven, en toch heeft lastpass miljoenen gebruikers. En slechte communicatie? jou mening, zeker niet de mijne. Maar ik denk eerder dat jij de kop in het zand steekt, wat ik heb niet het gevoel dat je in de gaten hebt wat er allemaal gebeurd als je het hebt over hacks.
Ik hou de situatie ook goed in de gaten, maar raak er zeker niet door in paniek, en dat was het punt wat ik wilde maken.

TgR_KILLER 25 januari 2023 12:25

Wachtwoorden op een a4tje onder je monitorsteun klinkt dan toch ineens niet zo gek

Audiowaste @TgR_KILLER • 25 januari 2023 12:41

Behalve als ik niet thuis ben en dan een wachtwoord nodig heb. Dan ben ik toch wel blij dat ik Bitwarden thuis heb draaien die van buitenaf niet te bereiken is. Thuis kan ik dan wel mijn Android app synchroniseren zodat ik er buitenshuis ook bij mijn wachtwoorden kan.

M. Schaap @TgR_KILLER • 25 januari 2023 12:40

Totdat er bij je wordt ingebroken . . .

OverSoft @M. Schaap • 25 januari 2023 12:53

Er zijn maar weinig inbrekers die zich focussen op het stelen van wachtwoorden, tenzij er specifiek naar gezocht wordt. En in dat geval: als ze echt willen, komen ze er wel in.

Anoniem: 159174 @TgR_KILLER • 25 januari 2023 12:31

Dat heeft nooit gek geklonken.

verytallman 25 januari 2023 12:35

Over de lastpass hack: als de hackers jouw kluis hebben heeft het geen zin om je master password te veranderen dan wel je lastpass account te verwijderen. De hackers blijven immers je kluis in handen hebben en hoeven alleen je (oude) master wachtwoord te kraken.
Het enige dat werkt is het veranderen van al je wachtwoorden.

Dan over het master password: ik schrok ervan hoe makkelijk sommige wachtwoorden te brute forcen zijn.

Twee gebruikers zijn hun crypto al kwijt door de lastpass hack.

FreshMaker @verytallman • 25 januari 2023 13:51

gebruikers zijn hun crypto kwijt

Om heel eerlijk te zijn, vindt ik dat soort verhalen altijd maar dubieus.
Ja, als het zo is, is het vervelend genoeg, maar achter in mijn hoofd zingt er dan altijd een stemmetje 'aandacht krijgen ...aandacht krijgen'

Op dit item kan niet meer gereageerd worden.

LastPass-eigenaar GoTo meldt hack van versleutelde back-ups van andere diensten

Lees meer

Reacties (164)

Sorteer op:

Weergave: