LastPass-hack gebruikte Plex-kwetsbaarheid die drie jaar geleden al was gedicht

De LastPass-hack van afgelopen november maakte gebruik van een kwetsbaarheid in Plex die in mei 2020 al was gedicht, ontdekte PCMag. De hack had voorkomen kunnen worden als de werknemer, op wiens thuiscomputer de malware werd geïnstalleerd, de software had geüpdatet.

Het gaat om de CVE-2020-5741-kwetsbaarheid in de software Plex Media Server, schrijft PCMag. Via de Camera Upload-functie was het voor aanvallers mogelijk om de server schadelijke code uit te laten voeren. Daarvoor moesten de kwaadwillenden wel al beheerderstoegang hebben tot het Plex-account van de LastPass-werknemer. Hoe ze daarin slaagden is niet bekend. Nadat de devops-programmeur van LastPass de malware had geïnstalleerd, waren de hackers in staat om de toetsaanslagen van het slachtoffer te registreren en zo achter het masterwachtwoord te komen. De LastPass-werknemer heeft vervolgens wel zelf ook de multifactorauthenticatieaanvraag goedgekeurd.

In een reactie zegt Plex tegen PCMag dat er in mei 2020 een patch voor de kwetsbaarheid was uitgebracht, maar dat de werknemer in kwestie de software nooit geüpgraded heeft. Sindsdien zijn er al 75 nieuwe softwareversies van Plex uitgebracht. Het is onduidelijk waarom de programmeur al die tijd de software niet heeft bijgewerkt, vooral omdat veel van de updates automatisch horen plaats te vinden.

Via deze senior devops-programmeur hebben de aanvallers vorig jaar toegang gekregen tot de cloudback-ups van LastPass, waarin klantgegevens, zoals mfa-seeds en identificeerbare info, stonden, zo maakte LastPass afgelopen week bekend. Ook zijn er vijf blobs gedownload van back-ups van klanten die tussen 20 augustus en 8 september een account hadden. In die blobs zaten ook versleutelde velden voor de wachtwoorden en onversleutelde velden voor bijvoorbeeld url-namen.

Door Kevin Krikhaar

Redacteur

04-03-2023 • 12:57

169

Reacties (169)

Sorteer op:

Weergave:

Bor Coördinator Frontpage Admins / FP Powermod 4 maart 2023 13:04
Het zoveelste security incident bij een bedrijf wat het voornamelijk van vertrouwen moet hebben. Zeker gezien de informatie welke wordt verwerkt een zeer kwalijke zaak. Ik verbaas mij er over dat het bedrijf deze incidenten en de negatieve media coverage hier omheen elke keer weet te overleven. Ook hier op Tweakers lees je af en toe reacties als "toch blijf ik vertrouwen houden". Is het nog niet genoeg duidelijk at er bij Lastpass meer aan de hand is dan alleen ongeluk?

nieuws: LastPass: meldingen van inlogpoging kwamen door fout in waarschuwings...
nieuws: LastPass maakt melding van hack, maar wachtwoordresets zijn niet nodig
nieuws: LastPass bevat zeven datatrackers in de Android-app, ook van marketin...
nieuws: LastPass-eigenaar GoTo meldt hack van versleutelde back-ups van ander...
nieuws: LastPass dicht kwetsbaarheid in zijn browserplug-in
nieuws: LastPass dicht beveiligingslek in 2fa-app voor Android
nieuws: Onderzoeker toont gerichte phishingaanval op LastPass
nieuws: Google-onderzoeker vindt op afstand te gebruiken lek in LastPass - up...
nieuws: LastPass-gebruikers krijgen melding van inlogpoging met master passwo...

En ga zo maar door...

[Reactie gewijzigd door Bor op 22 juli 2024 14:36]

Ik heb mijn abonnement al een tijd geleden opgezegd, helaas nog een paar maanden geldig.
Ben zelf helemaal klaar met lastpass. wel nog opzoek naar een vervanger.
Bitwarden is een hele goeie open-source vervanger! Kan het zeker aanraden!
Bitwarden is een hele goeie open-source vervanger! Kan het zeker aanraden!
Zeker, maar Bitwarden + Yubikey is nog een betere oplossing, daarmee zijn paswoorden nagenoeg on-hackbaar, zelfs als (tot op zekere hoogt(edit)) er een probleem is met Bitwarden.

Gebruik die Yubikeys ook samen met Windows Hello voor login, en op mijn Windows user account als er om Admin rechten gevraagd wordt, even de key aanraken.

Enige nadelen van het gebruik van Yubikeys is dat je wel backup keys moet gebruiken, want elke key is uniek, dus je moet je al je keys registeren voor elke account

Zoals bijvoorbeeld: Bitwarden, Windows, Google, Crypto, Github, Redit, ProtonMail, ING en wat voor account je nog meer gebruikt.

In eerste instantie lijkt het een hoop werk, maar je hoeft het eigenlijk maar een keer te doen, want voor het meeste gebruikje je paswoordmanager.

Zelf heb ik 4 keys, die heb ik voor mijn server, PC, aan mijn sleutelbos en in mijn kluis de back-up key, de server en PC keys zijn permanent verbonden met ze, en staan in een USB standaardtje, zodat ik bij login en paswoord autorisatie, hem zo even kan aanraken voor verificatie.

Is het laten zitten van de keys in de PC/server, "best practice", nee niet echt, maar beschermt me wel tegen de kwaadwillende van het internet, en als ik verjaardag of vreemde over de vloer heb, dan haal ik ze wel even er uit..

[Reactie gewijzigd door player-x op 22 juli 2024 14:36]

Dit klopt niet helemaal. De yubikey is enkel 2FA. Die heb je niet nodig als je de vault te pakken weet te krijgen en het WW via bv een keylogger hebt kunnen achterhalen
Ik schop mezelf nog steeds dat ik de actie gemist heb waar je via Cloudflare voor vijf euro per stuk Yubikeys kon bestellen. Ik hoop dat ze dit nog een keer gaan doen dit jaar, want ik vind de prijs toch best fors, helemaal omdat je twee keys moet kopen voor belangrijke accounts (voor als je je key kwijt raakt in een brand ofzo).

Ik denk dat afhankelijk van je bedreigingsmodel het een prima keuze kan zijn om de Yubikey altijd in een apparaat te zetten. Het is wellicht geen goede vervanger voor username/password, maar het kan wel dienst doen als remote attestation voor websites, en dat is vaak meer dan genoeg.

Vergelijk het met de WebAuthn-methodes voor telefoons die op basis van biometrics inloggen: je kunt de TrustZone-geheimen niet uit je telefoon halen, maar je kunt wel aannemen dat als iemand inlogt met een gezichtsscan gekoppeld aan een specifiek apparaat, dat dat apparaat gebruikt wordt, zelfs als je biometrics nagedaan worden. Dat is in mijn ogen meer dan veilig genoeg voor bijna al het dagelijkse gebruik.
Bor Coördinator Frontpage Admins / FP Powermod @player-x4 maart 2023 21:37
Zeker, maar Bitwarden + Yubikey is nog een betere oplossing, daarmee zijn paswoorden nagenoeg on-hackbaar, zelfs als er een probleem is met Bitwarden.
Nee hoor. Die Yubikey fungeert dan alleen om 2FA te realiseren.
Volgens mij klopt dit niet. Je kunt prima naast de Yubikey nog een andere 2FA-methode hebben zoals TOTP of herstelcodes. Zolang je de tweede methode alleen gebruikt bij nood, is het net zo veilig. Ik heb ook 1 Yubikey en ik kan in mijn account als ik 'm kwijt zou zijn.
Heb zelf 2 YubiKeys, 1 die aan men sleutelbos hangt en 1 in een brandveilige kluis en zoals @player-x als zegt zijn ze nagenoeg onhackbaar. Natuurlijk heeft het vrij weinig zin om jezelf proberen te hacken want je weet wat voor soort beveiliging je hebt ingevoerd maar ze hebben wel degelijk een geweldige toegevoegde waarde!
Uit nieuwsgierigheid, maakt een site elke keer dat je je Yubikey gebruikt contact met een server van Yubikey? Of werkt dat geheel zonder die servers, met asymmetrische versleuteling o.i.d.?
De crypto chip op de yubikey kan inderdaad zelf dingen ondertekenen of encrypten met zijn eigen private sleutel. Dat is de kracht van zulke sleuteltjes. Alles gebeurd binnenin en is dus “veilig” . Ongeveer wat de TPM chip op je moederbord ook doet.
Alles gebeurd binnenin en is dus “veilig”
En ook daar moet je niet blind op vertrouwen. HSMs (wat ze pretenderen te zijn) zijn relatief veilig maar de software daarvoor (lees daarin) word nog steeds door mensen gemaakt en bevat gegarandeerd fouten (hardware vaak ook).
Ik begrijp het, klinkt wel als een logische oplossing. Ik heb gelukkig twee Yubikeys liggen, misschien moet ik die eens voor accounts gaan gebruiken waar dat kan.
Hier een paar jaar terug overgestapt van Last Pass naar Bitwarden en ben zeer tevreden. Werkt bijna hetzelfde eigenlijk.

Was ook tevreden met LastPass, maar na het zoveelste nieuwsbericht over een gegevenslek was ik er wel klaar mee. Tot toen ging het alleen over klantgegevens zelf (ook niet fijn natuurlijk) en niet de wachtwoordkluizen van gebruikers, maar dat stond er gewoon aan te komen.
Ik ben zelf over gestapt naar 1password. Werkt nu ook prima onder Windows en android waar dit eerder een stuk minder was.

Toen ik support had gemaild met een vraag en vermelde dat ik vanuit lastpass kwam, kreeg ik het eerdte jaar voor de helft van de prijs.
Ik ben ook overgestapt naar 1p. De Android app vind ik wel prima. Maar de Firefox add-on vind ik toch wel karig. Daarin vind ik Bitwarden wel beter.

Maar goed. Eerst maar eens een jaar aanzien.
Ik ben ook overgestapt naar 1p.
Totdat 1password ook wordt gehackt/geleckt.
Het is niet dat andere partijen niet gehacked zullen worden. Maar het aantal keren dat het bij lastpass ondertussen fout is gegaan is wel heel extreem.
Hier idem. Eerst van Lastpass naar 1Password. Maar de abonnementskosten wegen niet op tegen het gebruikersgemak. Vooral ontgrendelen met vingerafdruk of Yubikey was niet mogelijk. Altijd nog een code vereist. Daarop maar overgestapt naar Bitwarden. Vind ik fijner in gebruik. En zoals anderen al aangeven is het gebruikersgemak vergelijkbaar met Lastpass.
Het lijkt wel of iedereen is overgestapt naar BW, inclusief mezelf :P Totdat die weer gehackt wordt :+
Dat zul je toch altijd wel houden denk ik.
Net als dat mensen overstappen naar partij Y omdat partij X te commercieel wordt. En dan van Y weer weg gaan naar Z omdat Y ondertussen ook commercieel begint te worden etc.
Onder Tweakers misschien wel, maar in het algemene publiek zal het toch 1Password zijn of ingebouwde en/of browser-based implementaties.
Een echte tweaker host hem natuurlijk zelf :)

Ben ook van LP naar BW gegaan maar host hem zelf.
Ja tijdje gedaan ook op een vps maar moet je weer updaten enzo en onderhouden. Nu betaal ik gewoon een tientje per jaar.
updaten gaat bij mij geheel automatisch. zodra er een nieuwe docker is wordt die geupdate elke 24h wordt er gecontroleerd.
Ja dat kan wel idd dat had ik ook maar het OS moet je ook updaten, en soms ging er toch weleens iets mis en was m'n Bitwarden vault ineens down. Moest ik weer SSH-en en gaan checken zzzz

Te lui :P
Vaultwarden hier hoera!
1password ontgrendelen met vingerafdruk is inmiddels wel mogelijk op alle platformen (voor windows is tpm 2.0 vereist). Yubikey is inderdaad alleen ondersteund als 2fa.

Overigens was het wachtwoord eerst altijd verplicht, omdat 1password niet het wachtwoord in plaintext wil opslaan op je systeem. Wat wel nodig is als je geen tpm/secure enclave o.i.d. gebruikt voor het ontsleutelen. Sommige andere password managers (ook bitwarden lijkt dit toe te staan) doen het wel zonder tpm chip, maar dat is wel een veiligheidsafweging die je moet maken.

[Reactie gewijzigd door Raphire op 22 juli 2024 14:36]

Is dit iets windows specifieks? Op macos kan dit zonder problemen... Je kan zelfs instellen hoe vaak je wilt dat je je wachtwoord nog moet ingeven (bv 1 maal per maand, de rest vingerafdruk).
Dat was het wel, inmiddels kan je net als op macos inloggen via vingerafdruk, maar ook met gezicht of pincode. Wel heb je hiervoor tpm 2.0 nodig, vergelijkbaar met een secure enclave.
De browser addons integreren allemaal met de losse applicaties die geinstalleerd zijn op je machine. Het werkt wel zonder maar als je de officiele applicatie even installeert krijg je dus ook fingerprint unlock op je laptop enzo wat gewoon werkt in je browser.

Moet wel zeggen dat ik dan alsnog heel af en toe ook problemen ervaar met de firefox addon. Soms wil hij een nieuw autogenerated password niet helemaal lekker opslaan...
Ah. Dank voor de tip.
Ik gebruik zelf Enpass en ben meer dan tevreden. Alles staat gewoon op mijn lokale machines waardoor ik de controlle heb. De interface werkt ook super!
Dus 'gewoon' KeePassXC
Enpass heeft ook cloud sync, zij het via je eigen Onedrive of andere cloud. Zo blijft je mobiele app in sync met de pc, zonder dat de gegevens op de servers van Enpass zelf staan.

KeePassXC heeft als ik het goed heb geen cloud sync.
Ik gebruik KeePass 2 en als je deze oplslaat in een nextcloud/Onedrive folder wordt hij automatisch gesynced.
Is er een voordeel om Enpass te gebruiken?
Kan de mobiele app van KeePass 2 zelfstandig syncen met die Onedrive folder? En werkt de app dan tegelijk ook offline om bijv. op je mobiel het wachtwoord op te zoeken om in te loggen op een laptop, of een beveiligde externe drive, op een plek zonder internet? Zo ja dan zijn ze wellicht gelijkwaardig.

[Reactie gewijzigd door pmeter op 22 juli 2024 14:36]

Ja, het was wel wat gedoe, maar heb het aan de praat. Ik gebruik nextcloud, maar voor de configuratie maakt dat vermoedelijk niet uit.
Ik denk eerder dat van dit concept af moet stappen als je zekerheid wil. Er is ten alle tijden sprake van informatieassymetrie en je kan geen enkele vervanger écht vertrouwen omdat je simpelweg niet kan controleren.
Ik denk misschien nog wel de allerbeste mogelijkheid indien je zelf iets host. Vaultwarden. Clone van bitwarden en dan ook nog een de pro functies gratis. En als je het zelf host kan het in theorie nog veiliger zijn. Maar dat hangt natuurlijk maar af van hoe je met die beveiliging om gaat.
Verder is bitwarden al super goed en goede support.
KeePassXC kan ik aanraden. Ik ben nu bezig over te stappen omdat ik het vertrouwen in Lastpass volledig kwijt ben. Met KeePassXC heb je alles zelf in handen. Andere overwogen maar dat is toch meer van hetzelfde.

Mijn instelling dusver:
  • KeePassXC op laptop met 2 vaults, 1 voor prive + 1 voor zakelijk
  • Unlock op OSX laptop met fingerprint
  • Firefox en Chrome integratie naar desktop app
  • Sync naar Android via drive
  • Keep2Android offline op Android met fingerprint unlock
Voor nu werkt dit erg goed. Simpel inloggen op sites, autofill in Android, makkelijk nieuwe wachtwoorden toevoegen, makkelijk vault unlocken, syncen gaat redelijk naadloos. En het biedt de mogelijkheid om in de toekomst zelf de vault te syncen (niet via een public cloud).

Er is alleen iets met dat de vault weer het volledige wachtwoord nodig heeft als ik hem lock als de laptop dicht is en dus de fingerprint sensor tijdelijk uit is geweest.

Dat was eigenlijk het makkelijke gedeelte. Nu ben ik al mijn wachtwoorden aan het veranderen omdat ik begreep dat je er vanuit moet gaan dat die compromised zijn. Ik heb er al zo'n 50 van de 600 gedaan... :S

[Reactie gewijzigd door Ruurdice op 22 juli 2024 14:36]

Hier Bitwarden. Werkt prima.

Denk echter niet dat het feilloos is. Alle software is ergens lek als je ver genoeg zoekt.

Heel lullig, maar een fysiek blaadje (in een boek) is serieus veiliger.
Welke dienst raad je aan?
Ik heb omwille van deze reden ook LastPass laten varen. Ben even op zoek geweest naar een goed alternatief, en Bitwarden was zeker een kanshebber, evenals Keeper, maar uiteindelijk toch geland op NordPass. Ik moet zeggen : super tevreden van! De overstap is redelijk pijnloos verlopen en sommige dingen zoals bijvoorbeeld de autofill werken gewoon zelfs beter. Ik beklaag me de overstap zeker niet!
1Password heeft volgens mij een actie nu dat ze je resterende abonnementskosten voor hun rekening nemen.
Ik gebruik zelf eWallet sinds de tijd dat ik een pda had. Staat op mijn pc en telefoon.

Hij kan synchroniseren via dropbox, of wifi.

Geen subscription model.
Je steekt het gewoon in de Edge browser? Die linken automatisch naar de Authenticator en zo heb je alle wachtwoorden op alle devices en kan je ze nog inzien ook
Ik ben uitgekomen op RoboForm, inmiddels al 3 jaar.
je kunt gewoon opzeggen en het resterende bedrag wordt teruggestort. Dus gun jezelf een een veilige omgeving en stap over naar iets anders. Zelf ben ik naar bitwarden overgestapt, buiten alles wat hier genoemd wordt werkt het bij mij ook nog eens beter.
Er zijn de laatste tijd veel berichten over 1 en dezelfde hack van November 2022 bij Last Pass. Daarnaast is de hack dus gekomen omdat een medewerker thuis

1) Plex niet bijgewerkt had, terwijl het issue drie jaar geleden al gedicht was
2) Inloggegevens van werk open en bloot had op zijn thuis PC

Dit is dus niet de zoveelste hack bij LastPass, maar het zoveelste bericht over 1 en dezelfde hack.

Niet dat dat ook maar iets is wat goed is, maar het is wat minder erg dan de artikels laten lijken op diverse websites.

[Reactie gewijzigd door CH4OS op 22 juli 2024 14:36]

Nummer 3 vind ik toch het meest bijzondere:
De LastPass-werknemer heeft vervolgens wel zelf ook de multifactorauthenticatieaanvraag goedgekeurd.
Je zou bijna denken dat het een inside job is, zo'n grote flapdrol kan je toch niet zijn als authenticatie letterlijk je werk is?

[Reactie gewijzigd door HakanX op 22 juli 2024 14:36]

Wellicht op een perfect moment kunnen timen
Daarom stappen we nu juist over naar passwordless (Apple, Google, Microsoft, overige FIDO) en worden pushmeldingen-met-bevestiging dichtgetimmerd met een extra verificatiestap waar je de verificatiecode op de pagina in de app moeten invullen om push fatigue aanvallen tegen te gaan (Duo).
Bor Coördinator Frontpage Admins / FP Powermod @Blizz5 maart 2023 10:42
Number matching doet Duo niet alleen maar kan ook met bijvoorbeeld Microsoft. Sterker nog, Microsoft gaat dat geforceerd aanzetten voor elke tennant.
Ik krijg zoveel MFA requests bij het inloggen dat ik vaak niet helder heb bij welk onderdeel nou wat hoort. Ja, dat kan en moet anders, maar dat duurt nog wel even. De inlog is nu niet onderling gekoppeld en dat veranderen kost moeite.
Wat veel kwalijker is, is hoe LastPass op dit incident gereageerd heeft. Er zijn vaults uitgelekt. Dat is zo'n beetje het ergste wat er óóit kan gebeuren bij een password manager. Er ligt een tikkende tijdbom onder ieder geheim dat je bij LastPass bewaarde. Maar LastPass blijft het bagatelliseren en heeft zelfs officiële communicatie uitgestuurd dat het niet nodig is om passwords te cyclen. Dat is wmb véél kwalijker dan het lek zelf.

[Reactie gewijzigd door mcDavid op 22 juli 2024 14:36]

Ik heb ook zeker niet de intentie om het verder goed te praten, wat dat betreft heeft LastPass dit hele gebeuren totaal niet goed aangepakt en werken ze op deze manier zichzelf de grond in door niet transparant te zijn.
Bor Coördinator Frontpage Admins / FP Powermod @CH4OS4 maart 2023 19:07
Dit is wel degelijk het zoveelste incident bij Lastpass. De links zijn slechts enkele voorbeelden waarvan sommige aan elkaar gerelateerd zijn. Middels een search vind je nog meer.
De samenleving wordt al 25 jaar bekogeld met software lekken, dus dat mensen immuun voor het nieuws worden verbaasd mij niet echt.

En kijk ik in het Password Manager topic zijn er echt wel bosjes die overgestapt zijn.

Ongeacht of iemand blijft of overstapt, iedereen die het gebruikte in de afgelopen periode moet wel al zijn of haar wachtwoorden resetten uit voorzorg.
Wij zijn als last pas CSP bezig geweest om al onze klanten om te zetten naar een andere software pakket.

Dat een bedrijf maken kan krijgen met een hack kan ik nog enigszins begrip voor opbrengen, zelfs een bedrijf als lastpass kan slachtoffer worden omdat ik ook bewust ben dat deze een behoorlijke target is.

Maar dat ze informatie achterhouden, liegen en slecht communiceren is echt kwalijk en de hoofdreden dat wij besloten hebben om afscheid van ze te nemen.

Als ik vervolgens ook nog eens lees dat se veel bedrijfsprocessen (regels omtrent gebruik van apparatuur en software) niet op orde hebben breekt mijn klomp en ben ik blij dat we deze beslissing genomen hebben.
Er zit natuurlijk iets goeds fout als je een bedrijf kunthacken via een onbeveiligd systeem van ontwikkelaar. Dan moet je echt even een stap terug nemen en er nog eens goed over nadenken hoe je je bedrijf moet gaan inrichten.
Je klaagt over meerdere security incidenten maar linkt vervolgens meerdere artikelen over hetzelfde incident. Niet echt netjes en redelijk misleidende presentatie van data.

Daarnaast link je een artikel dat aangeeft dat managers zoals bitwarden ook trackers gebruiken.

Anyways.
Zoals ik het lees was dit laatste incident niet eens een zwakte van lastpass. Maar een zwakte van de medewerker.
Als deze beste persoon bij bitwarden gewerkt had, dan had bitwarden een probleem gehad.

Edit: wat ik meer kwalijker vind is dat het nieuws zo gefragmenteerd naar buiten kwam.

[Reactie gewijzigd door fire-breath op 22 juli 2024 14:36]

Welke "negatieve media coverage " ? We zien alleen, al jaren onverantwoorde adviezen van "experten"
die proberen mensen wijs te maken over dit en dat . Niet achteraf op zoek naar reden, vooraf durven te
zeggen omdat u weet zelf ook dat alles in "innovatie" verpakt en verkocht is.
Bor Coördinator Frontpage Admins / FP Powermod @olden4 maart 2023 22:31
Oprechte vraag; Wat zijn die onverantwoorde adviezen waar je het over hebt? Ik zie het in relatie tot dit nieuwsitem niet.
Je adviseert zelf 'een export en import' ;)
Zonder je wachtwoorden te wijzigen zou zo overstappen wel eens zinloos kunnen zijn als de oude manager alsnog gehacked wordt..
Bor Coördinator Frontpage Admins / FP Powermod @WaterFire5 maart 2023 10:28
Een ex- en import doe je natuurlijk niet na een hack of je wijzigt direct na de import in bulk alle wachtwoorden.
Is ook meer omdat er niet veel bekende vaults zijn die het veel beter doen. En het een klote klus is om alles over te zetten. En je hebt er ook voor betaald.
Bor Coördinator Frontpage Admins / FP Powermod @Seth_Chaos4 maart 2023 21:41
Overzetten is een export en import in veel gevallen.
Ben na die laatste hack overgestapt, vooral omdat ze gelogen hebben over de data die ze bezitten. Encrypted betekend voor hun schijnbaar dat alleen betaalde delen dat zijn.
Overstappen naar bitwarden was slechts een paar minuten werk. Daarna nog, maar de overstap zelf was echt zo gepiept
Ik vind het ook bizar dat een bedrijf zoals LastPass geen bedrijfs hardware aan zulke belangrijke engineers geeft die zwaar locked down down zijn. Dat had dit misschien kunnen voorkomen als het netwerk bij die devops engineer goed goed ingericht zou zijn. Al is dat ook maar de vraag of het netwerk sowieso goed ingericht bij iemand die dingen zo lang niet update.

Ik ben overigens nooit gebruiker van LastPass geweest, vroeger Keepass en daarna overgestapt op (selfhosted, alleen toegang via VPN of interne netwerk) Bitwarden.

[Reactie gewijzigd door Teun! op 22 juli 2024 14:36]

Thanks, LastPass stond bij mij al op losse schroeven maar n.a.v. deze post heb ik direct alles overgezt naar Bitwarden.
Neem het in eigen hand en ga zelf je password manager hosten bv. Met bitwarden of vauktwarden. Erg tevreden mee. Overigens kreeg ik als oud LastPass gebruiker (ben al 2 jaar weg) ook updates over de laatste hack. Gooien ze dan geen gegevens weg van oud klanten???
Voor zover ik weet is een soortgelijke hack bij Bitwarden onmogelijk, gezien ze daar gebruik maken van encrypted blobs die alleen met het wachtwoord van de gebruiker kunnen worden geopend.
De lp backups waren gestolen. Waarom zou bitwarden backups niet gestolen kunnen worden?
Ik draai hier al Vaultwarden sinds het begin van het project. Alleen te benaderen via VPN en nog met hardware 2FA webauthn is het naar mijn mening zo veilig als het kan.
Als ze de oude wachtwoorden van oude klanten bewaren, dat is niet maar onzorgvuldig, maar crimineel.
Wauw, hieruit blijkt toch maar weer dat je goed moet nadenken als organisatie of je zakelijke en privé wil combineren. Dat je toch aardig wat controle moet hebben over wat er geïnstalleerd is op een zakelijke device of op een device wat toegang heeft tot een zakelijke omgeving.
Wauw, hieruit blijkt toch maar weer dat je goed moet nadenken als organisatie of je zakelijke en privé wil combineren.
Ik werk voor een bedrijf waar veiligheid enorm hoog staat, en waar ook veel te verliezen valt als het fout gaat. En dit soort zaken zijn gewoon te voorkomen.

- Bedrijfslaptop waar enkel software op geïnstalleerd kan worden vanuit IT wat noodzakelijk is, en in beheer is van je IT afdeling. Software van bedrijven die niet meewerken aan een onderzoek (inhoud weet ik zo even niet) komt niet op onze omgeving.
- Beheerde software wordt altijd up to date gehouden met reguliere updates
- Recources, zoals webpagina's en applicaties alleen bereikbaar houden via VPN, en uitsluitend via je bedrijfslaptop
- Maandelijkse mail test of iedereen gevaarlijke mails weet te herkennen en te verwijderen. bij 2 strikes een verplichte fysieke training.
- Alle bronnen enkel benaderbaar doormiddel van 2FA.

Het is allemaal volgens mij niet ingewikkeld, maar je moet structureel zijn en dat doet blijkbaar LastPass niet.

[Reactie gewijzigd door Luchtbakker op 22 juli 2024 14:36]

Dat is leuk voor de gemiddelde kantoormedewerkers, voor programmeurs is dit totaal onwerkbaar. Bij elke tool, dependency oid de IT-afdeling inschakelen? Nog los van het gat in kennis tussen de beheerders en de programmeurs.
Developers en automation engineers zijn gekende pijnpunten, juist omdat ze vaak beheerdersrechten nodig (denken te) hebben en vervolgens krijgen en gebruiken.

Toch valt er heel veel te doen om ook die computers goed te beveiligen. Stap één is toch die beheerdersrechten terug te schroeven en alle software (dmv packaging op een of ander deployment platform) door IT laten installeren en beheren. Als dat gebruikelijk is, is er ook binnen de kortste keren een mooie repository van de software die nodig is. Dat zorgt er ook voor dat die mensen meer met 'gestandardiseerde' software werken (geen 10 verschillende tooltjes die eigenlijk hetzelfde doen) en het beheren/updaten ervan gecentraliseerd kan gedaan en/of opgevolgd kan worden.
Als dat niet mogelijk is, kunnen die computers nog in een eigen VLAN aan de slag en regelmatig ge-audit worden op kwetsbare software. Ook kan je, als workaround, een 2e 'admin' account aanmaken, en vervolgens streng auditen op het gebruik ervan.
Feit is wel dat dit soort maatrgelen, tijd, geld en medewerking van iedereen vereist. Al die elementen zijn in mijn ervaring maar zelden tegelijk aanwezig.

Je reactie maakt dat pijnlijk duidelijk: je omschreven 'onwerkbare situatie' wordt net tot stand gebracht om het hele bedrijf veilig te houden. Dat je dan aan comfort en efficiëntie inboet is een (belangrijk) element (nadeel) van extra security. Gebruiksvriendelijk en heel veilig gaan zelden hand in hand.

Dat beheerders en ontwikkelaars niet altijd dezelfde kennis/insteek hebben, is zeker waar. Maar er is niks dat een bedrijf weerhoudt om de approval via bijv de teamlead van de devvers en/of het security team te leiden en de uitvoering alsnog bij de beheerders te leggen.

[Reactie gewijzigd door the_stickie op 22 juli 2024 14:36]

Je reactie maakt dat pijnlijk duidelijk: je omschreven 'onwerkbare situatie' wordt net tot stand gebracht om het hele bedrijf veilig te houden. Dat je dan aan comfort en efficiëntie inboet is een (belangrijk) element (nadeel) van extra security. Gebruiksvriendelijk en heel veilig gaan zelden hand in hand.
Wat is er dan pijnlijk aan zijn reactie? Punt is dat alles veilig houden één ding is. Maar wat heb je daar precies aan als je een onwerkbare situatie hebt gemaakt? Waarbij of productiviteit instort, of je medewerkers workarounds gaan verzinnen om wel hun werk te kunnen doen, workarounds die veel onveiliger zijn dan wanneer je gewoon iets minder "veiligheid" had ingesteld in de eerste plaats.
Zijn reactie is niet pijnlijk, ze geeft wel een pijnlijke waarheid duidelijk weer : dat de bereidheid aan comfort in te boeten (in ruil voor beveiliging) heel klein is.
Dat iets wat langer zal duren, maakt een situatie niet onwerkbaar. Ik zou zelfs durven stellen dat als een ontwikkelaar plots een stukje software nodig heeft, men bij aanvang van het project wellicht niet goed genoeg heeft nagedacht over de voorwaarden. Het is niet het einde van de wereld als je een paar dagen moet wachten op iets.

Dat je aan comfort/productiviteit inboet als je heel stringent aan IT security doet is een feit, maar dat moet afgewogen tegen de mogelijkheid dat het hele bedrijf een hele tijd niet productief kan zijn, dat er dataverlies mogelijk is, dat een breach miljoenen kan kosten en slecht is voor het bedrijfsimago enz. enz.

Wat betreft 'workarounds' denk ik dat ik heel duidelijk kan zijn: als je beveiliging (helemaal) op orde is kàn een werknemer geen (onveilige) workarounds implementeren.

In de praktijk moet er altijd een afweging gemaakt worden hoeveel beveiliging goed is en opbrengt. Die afweging is heel anders bij een KMO/MKB dan bij grote jongens in de financiële sector bijvoorbeeld.
Volgens mij heb je nog nooit met developers op deze manier te maken gehad of je hebt een enorme roze bril.
Je reactie maakt dat pijnlijk duidelijk: je omschreven 'onwerkbare situatie' wordt net tot stand gebracht om het hele bedrijf veilig te houden. Dat je dan aan comfort en efficiëntie inboet is een (belangrijk) element (nadeel) van extra security. Gebruiksvriendelijk en heel veilig gaan zelden hand in hand.
De kunst is dus juist om het goede compromis te vinden en niet alles zo hard dicht te timmeren dat er niet meer gewerkt kan worden. Als een developer niet meer kan developen dan doe je als beheerder dus iets verkeerd en ben je te hard aan het dichttimmeren geslagen.
Ik heb net wel bij allerlei klanten in diverse sectoren (oa finance, farma, automotive, industrie,...) met ontwikkelaars samengewerkt aan een veiligere omgeving. Blijkt in de praktijk dat ze juist heel zelden bijvoorbeeld full admin op hun eigen machine nodig hebben. Een 'on demand' VM om iets op testen/proberen, dat wel (bijvoorbeeld).
Ik ben het wel met je eens dat er altijd een compromis gevonden moet worden, maar niet dat in een veilige omgeving developers niet kunnen developen...
Nog los van het gat in kennis tussen de beheerders en de programmeurs.
Nou nou, daarmee doe je beheer tekort. Ik kan je legio voorbeelden noemen van developers die de wijsheid in pacht menen te hebben en ondertussen met hun programma's een server onbeheer(s)baar maken wegens permissions die nodig zijn om het te laten werken. Laat er dan een andere developer naar kijken en die kan het herschrijven zodat alles blijft werken zonder die onnodige permissions.

Of developers die met hun werk een server 100% belasten terwijl dat met enig slim denkwerk ook met veel minder kan. Dat heb ik in mijn loopbaan bij SQL-queries al zo vaak gezien, van een farm met 8 VM's terug naar 1 na het herschrijven van een query.
Kwestie van verschillende omgevingen (productie, test, ontwikkel, acceptatie) inrichten.
Die scheid je netjes met elk een eigen beheerder.
De productie omgeving wordt dan streng beheerd en in de ontwikkelomgeving mag dan wat meer in nauw overleg met de beheerder.
imo is dev/test/staging/prod een heel goeie methode om de prod omgeving tegen oopsies te beschermen, maar geen security maatregel.
Deze opsomming is natuurlijk leuk.
Maar benoemen wat je moet doen, en het daadwerkelijk (goed) doen zijn twee dingen.

Daarbij is de praktijk is om diverse redenen, altijd en zonder uitzondering, weerbarstiger dan wanneer je het zo even opschrijft.

Als je security easy was zou je niet doodgegooid worden met datalekken, want je mag er echt wel breed genomen van uit gaan dat niemand daar op zit te wachten.

[Reactie gewijzigd door Polderviking op 22 juli 2024 14:36]

En hoe meer je je werknemers het werken moeilijk/vervelend maakt, hoe meer ze daar omheen gaan werken. Een vorm van shadow IT dus. Het is allemaal niet zo simpel of zwart-wit.
Het is soms belachelijk dat werknemers zuren dat iets wat onderdeel van je werk is uit beveiliging wat onhandiger werkt. Als je niet voor belangrijke data wilt zorgen moet je maar ergens gaan werken waar geen belangrijke data is. Helaas zal het wel zo zijn dat pas als hun leidinggevende dit belangrijk maakt en dat zaken verplicht worden gesteld dat de werknemer zich ook zo gaat gedragen. Binnenkort komt er een nieuwe Europese richtlijn(NIS2) voor security waarin er hoofdelijke verantwoordelijkheid komt voor top management functies en dat zal waarschijnlijk ook wel wat impact hebben hoe hoog dit op de agenda komt.
Als je een fatsoenlijk IT beleid hebt is dat helemaal geen probleem. Het feit dat deze werknemer blijkbaar zelf verantwoordelijk is voor updates zegt genoeg over het beleid (of ontbreken daarvan) van dit bedrijf.
En dan ook nog eens bij ren bedrijf waar je je wachtwoorden aan toevertrouwd... (Die je sowieso eigenlijk niet door iets moet laten beheren waarvn je niet de details weet hoe het werkt; een slim wachtwoord systeem met voor jezelf makkelijk te onthouden wachtwoorden is veel beter).
Beleid is echt niet genoeg om risicos voldoende te beperken en al helemaal niet bij byod voor de belangrijkste ontwikkelaars/beheerders die bij de meest gevoellige gegevens van je bedrijf en klanten kunnen die je hebt om maximaal te beschermen. Dat is een combinatie die hoe dan ook geen goed beleid is.
Het is al een illussie gebleken dat byod voor gewoon werk voldoende is om persoonsgegevens of bedrijfsgegevens niet via die weg te lekken omdat er nauwelijks tot geen handhaving op mogelijk is, dan is het het dus helemaal niet redelijk om byod te gebruiken om bij de meest waardevolle rechten en gegevens te komen.
Met al deze omschrijvingen van wat er mis leek te zijn lijkt het me ook redelijk als klanten bij het bedrijf gaan eisen om bewijs te tonen dat ze voldoende over beveiliging nagedacht hadden. Het lijkt er namelijk meer op dat het bedrijf dat waarschijnlijk niet eens kan aantonen als dit verhaal klopt. Zelfs bij een gewoon bedrijf lijkt dit al weinig doordacht, helemaal voor een bedrijf wat een belangrijke ontwikkelaar kennelijk zo makkelijk bij heel belangrijke gegevens laat komen. Hier had minimaal fysieke scheiding verwacht mogen worden, in plaats van dit gemak om zelfs via een privé systeem van een medewerker kennelijk al toegang tot de gegevens mogelijk te maken.
Wow. Een beveiligingsbedrijf, dat ontelbare gevoelige wachtwoorden van miljoenen mensen beheert, heeft haar eigen beveiliging niet op orde. Want als je 2.5 jaar na de release van een fix deze nog niet hebt geïnstalleerd, mag je toch wel concluderen dat je security niet op orde hebt.

Dat geeft te denken hoe veilig je wachtwoorden dan zijn. Want als er één lek niet door hen is gedicht, hoeveel lekken zijn er dan nog meer niet gedicht?

Ik heb geen vertrouwen meer dat dit nog goed gaat bij dit bedrijf. Zoals het gezegde luid: vertrouwen komt te voet, maar vertrekt per paard. Zeker met dit soort berichten.

Ik had een account bij LastPass, maar op basis van deze informatie ga ik die denk ik toch maar verwijderen. Er zitten namelijk best een aantal kritieke accounts tussen, met toegang tot erg gevoelige gegevens.
De fix moest op een thuis-pc geïnstalleerd worden. Dat maakt BYOD zo tricky. Met de wens tot thuiswerken die ook groeit, groeit ook de attack-surface van een bedrijf. Ik denk niet dat veel gebruikers zitten te wachten om thuis VLAN's en dedicated PCs op te zetten.
Wat mij betreft faalt de bedrijfsvoering van LastPass al vele jaren. Ik ben ex-klant sinds ~2015. Er was toen een groot lek in hun browser plugin (*). Toen ik mailde om te vragen waarom ze hun klanten niet op de hoogte brachten van dit probleem was het antwoord dat het mijn verantwoordelijkheid was om hun website/weblog te volgen en er daar over te lezen.

(*) Als ik het me goed herinner: De filtering van de domeinnamen op de automatische invoer van paswoordvelden was toen stuk. Een website kon dus een wachtwoord ingevuld krijgen, ook al was de domeinnaam anders. Potentieel waren dus al je wachtwoorden gelekt.
Het is de fout van de medewerker, die op zijn thuis PC zakelijke software installeert en ook verouderde software op die PC ook niet bijwerkt.
Ik zie het als een fout van LastPass die blijkbaar zijn medewerkers niet voldoende van hardware voorziet waardoor deze medewerker zijn privé-machine voor zakelijke doeleinden heeft ingezet.
Wellicht had de persoon er een reden voor. Ik vind het te kort door de bocht om een aanname te maken dat de werkgever niet in staat zou zijn geschikte hardware te kunnen leveren. Het is natuurlijk ook een stukje verantwoordelijkheid van de medewerker: het lek van Plex is 3 jaar geleden gedicht, toch had de medewerker een heel oude release draaien van Plex (en miste daardoor ook veel nieuwe features trouwens, maar dat terzijde). Je kunt de onwetendheid/domheid van de medewerker niet afschepen als verantwoordelijkheid van de werkgever.
Sowieso is het wat mij betreft onvergeeflijk dat je als bedrijf, zeker in deze branche, op dit gebied blijkbaar structureel zo'n grote blinde vlek hebt. Dat een medewerker zijn eigen PC niet goed op de rit heeft mag geen invloed kunnen hebben op het bedrijfsaccount. Dat is niet een eenmalig foutje, maar een kwestie van tijd voor het mis gaat.

En dat dan ook nog de LastPass-werknemer zelf ook de multifactorauthenticatieaanvraag heeft goedgekeurd, is net zo goed gewoon echt heel dom. Als medewerkers zulke domme fouten maken, kun je nog zo'n goed veiligheidsprotocol opstellen, maar dat helpt dan ook niet meer.
Voor mij de reden om weg te gaan bij LastPass. Wanneer je toegang hebt tot deze cruciale gegevens en er zo laks mee omgaat dan heb ik er geen vertrouwen meer in.

Plex server niet up to date en ook nog eens op je werk machine. Daarnaast MFA goedkeuren terwijl je zelf niet inlogt?
Ook waren de Plex beheer gegevens al eerder bemachtigd?

Een opeenstapeling van fouten. Jammer…
Plex server niet up to date en ook nog eens op je werk machine. Daarnaast MFA goedkeuren terwijl je zelf niet inlogt?
Nee, in het artikel staat Plex op een eigen machine, waar werkgegevens op stonden. Dat is de andere kant op.

Hoort trouwens ook niet, daar heb je gelijk in.
Niks mis met een BYOD mechanisme, mits goed uitgevoerd.

Geen BYOD die bij productie netwerken kunnen komen bijvoorbeeld. BYOD die controleerbaar bij zijn qua patches en updates. Kortom BYOD waar goed is nagedacht over wat wel en wat niet handig is bij een dergelijk mechanisme. Mail, agenda, video-conferences, intranetten, een document kunnen lezen en dergelijke zijn handig op een BYOD, veel meer niet. Dergelijke functionaliteit afscheiden in je bedrijfsnetwerk van je primaire bedrijfsproces is ook best een goed idee. Zeker voor een bedrijf gespecialiseerd in security

Voor ontwikkelen en beheer van bedrijfs-applicaties kan ik me geen situatie voorstellen waar BYOD een goed idee is. Geef je mensen een goede laptop om hun werk te kunnen doen, al helemaal wanneer je corebusiness security is.
Yep, dus de fout zit fundamenteel in de kern van het bedrijf. Mensen gaan niet zorgvuldig om met veilige principes, op alle niveaus. Ik zou nooit meer zo’n bedrijf vertrouwen.
Ik zou juist graag mijn software ontwikkeling op mijn eigen PC willen doen. Dat moet ik nu via remote desktop op een VM, maar die is veel trager dan mijn eigen PC.

Als ik mijn eigen PC qua BYOD alleen voor mail / teams / office mag gebruiken heeft het voor mij geen voordeel.

NB: ik begrijp waarom er een risico zou zijn als ik daadwerkelijk op mijn privé PC software zou kunnen ontwikkelen.
het probleem is dus dat je een slechte of slecht ingerichte werk-pc hebt, niet dat je privé pc beter is. Iets wat ik overigens herken op veel plaatsen.

En ja, dan is het heel verleidelijk om te gaan hobbyen, gewoon om je werk te kunnen doen. Maar uiteindelijk is dat om het echte probleem heen werken, namelijk een PC die zorgt dat je effectief kunt werken.
Van de mensen die ik ken die een wachtwoord manager hebben, is iedereen al een poos overgestapt naar betere alternatieven zoals Bitwarden :)
Totdat Bitwarden ook zo populair (groot) wordt als LastPass en zij ook worden gehacked.

Kwestie van tijd..
Ik host zelf. Dat betekent dat ik veel minder interessant ben om te hacken (mogelijk wel makkelijker, ik heb geen 24/7 monitoring). De andere kant op: mochten de servers van BitWarden gehacked worden, dan zitten mijn gegevens er niet bij.
Dat geeft toch te denken als senior medewerkers van een bedrijf dat zulke gevoelige software schrijft, niet up to date is met zijn software. Je zou toch verwachten dat je als dev extra alert bent op de gevaren die je loopt als je je spullen niet bijgewerkt.
De IT beheerder is daar formeel verantwoordelijk voor. Die moet zorgen dat het gereedschap van de developers up to date is. Als je dat niet fatsoenlijk hebt geregeld in je bedrijf is het niet meer dan een uit de hand gelopen hobby en geen professionele organisatie.
Ten eerste ging het om zijn prive computer. Op zich wel vreemd dat hij daarmee ook bij de repository een systemen kon.

Maar los daarvan gebruik je als developer ook heel veel tools en libraries en die moet je ook up to date houden. Dus je achter de systeembeheerder verschuilen is geen excuus.
Ik mag hopen dat een IT afdeling niet verantwoordelijk te houden is voor de grappen en grollen die ik uithaal op mijn prive PC:
De hack had voorkomen kunnen worden als de werknemer, op wiens thuiscomputer de malware werd geïnstalleerd, de software had geüpdatet.
Nee daarom zijn de meeste IT beheer afdelingen ook niet te spreken over BYOD. Het is gewoon te lastig om alles goed in te de gaten te houden. Waarom ze hier nu wel voor hebben gekozen is mij echt een raadsel.
Ik vraag mij af in hoeverre in een thuis situatie te spreken is over BYOD.
Er worden constant fouten gemaakt en gevonden in software.
Sterker, ook in leesboeken zitten grammatica en spelfouten na publicatie.

Conclusie, mensen die software of boeken schrijven zijn menselijk en maken fouten.

Als werkgever kun je dan de heleboel dicht timmeren. Alleen zijn de developers een aparte categorie met allerlei tools, dus heel lastig beheersbaar. Los van diva trekjes bij de ster programmeurs.

Maar kijk bij je eigen werkgever of opdrachtgever en huiver wat je vindt.
Klopt. Overal zitten fouten in. Maar als er dan updates komen die cruciale fouten herstellen, moet je die wil installeren. Vooral developers zouden dit moeten weten.
Ik werk als beheerder al 20 jaar dagelijks met developers bij verschillende werkgevers ondertussen en helaas, was het maar waar. Het is niet dat ze er helemaal niets omgeven, maar het is niet hun focus.
Is een probleem ook niet gewoon de manier waarop updates uitgebracht worden?

Zelf gebruik ik zowel Windows als Ubuntu. Soms is het langere tijd de ene en dan weer een tijd de andere.

Als ik na een tijd weer op Ubuntu werk, dan komen alle updates tegelijk binnen. Er is één enkele pop-up met "Er zijn updates. Installeren?", en zelfs dit is optioneel (als in: de updates kunnen zonder pop-up geinstalleerd worden). De eigenlijke updates gebeuren in de achtergrond, en buite die enkele pop-up merk ik er niet veel van. Het enige wat niet automatisch geupdate wordt zijn een tweetal softwarelibraries die ik zelf gecompiled heb.

Na een paar weken ga ik terug naar Windows. Dan hebben we Windows die updates wilt installeren. Uiteraard gebeurt dit net als ik mijn laptop wil afsluiten, omdat ik dringend weg moet. De volgende keer is dat dan ALT+F4 totdat ik kan kiezen om af te sluiten zonder updates te installeren.
Vervolgens heeft alle niet-Microsoft software een eigen installer en updater. Dan heb ik 5 minuten iets nodig en daar is een pop-up om te updaten. Afhankelijk van de updater is dit automatisch, of moet ik nog door een reeks menu's (of de een nieuwe installer downloaden). Ja, dan gebeurt het ook al eens dat ik de updates "uitstel".
Dit soort "updatebeheer" is niet gebruiksvriendelijk en resulteert daardoor in onveilige situaties. En dan kan je wel zeggen "jamaar, het is de verantwoordelijkheid van de gebruiker". Maar eigenlijk is het gewoon een slecht softwaredesign, en is het de verantwoordelijkheid van softwareontwikkelaars om ervoor te zorgen dat dit soort processen niet in de weg van de gebruiker zitten.
Waarom is het toegelaten eigen software op een bedrijfs computer/netwerk toe te laten?

Ik vind dit een grove fout, ik ben zelf al een tijd uit de automatisering vandaan maar wat ik wel nog weet van 10 jaar geleden is dat de "gebruikers" dus ook de "beheerders" enkel via toegestane hardware het netwerk op mochten en werken op prive machines ten alle tijden was verboden.

Nou was dat wel precies na verschillende data lekken maar alsnog dit zaakje stinkt aan alle kanten.

Elk respectabel bedrijf levert gewoon een laptop af bij zijn werknemer waar ze mee kunnen werken.
Vroeger was dit inderdaad het geval, maar tegenwoordig zie je bij veel bedrijven dat ze richting het Bring Your Own Device (BYOD) concept gaan, waar gebruikers dus hun eigen apparatuur mee mogen nemen. Niet alleen op het gebied van PC's/laptops, maar ook tablets, mobiele telefoons etc.

Dit brengt qua beheer dus wel de nodige complicaties met zich mee, op het gebied van compliance, compatibility en ook security.
Ik dacht dat BYOD alweer over zijn hoogtepunt heen is? Is dat niet iets wat 10 jaar geleden heel populair werd?
De medewerker had dan ook zakelijke software op zijn thuis PC staan:
De hack had voorkomen kunnen worden als de werknemer, op wiens thuiscomputer de malware werd geïnstalleerd, de software had geüpdatet.
Snap ik, maar mijn reactie was op de post dat tegenwoordig veel bedrijven naar BYOD gaan. In dit geval was dat dus het geval, maar in zijn algemeenheid dacht ik dat dat wel over zijn hoogtepunt was.
Ja maar niet dat er 'zomaar' even met je BYO onbeperkt toegang wordt verleend.

Met je BYO moet je vaak alsnog via een Citrix achtige omgeving inloggen om bij de email en software van het bedrijf te komen.

Oftewel je logt op je eigen device in op een schil (of portal, of scherm) en er is geen uitwisseling van bestanden of data tussen je eigen BYO device en het netwerk van het bedrijf.

Edit: Stijnvi heeft hieronder gelijk. Een betere toevoeging is:

Als de hackers dan keystrokes afluisteren is dat al een stap dichtbij een hack. "De LastPass-werknemer heeft vervolgens wel zelf ook de multifactorauthenticatieaanvraag goedgekeurd."

En zo blijkt de mens toch weer de zwakste schakel in het geheel van op papier prima procedures.

[Reactie gewijzigd door Stpan op 22 juli 2024 14:36]

Het gaat hier ook niet om data die via het persoonlijke apparaat is gestolen, maar het feit dat de hackers op het persoonlijke apparaat een keylogger hebben weten te installeren. Als die keylogger alle toetsaanslagen van het apparaat weet te registreren dan maakt het volgens mij niet zoveel uit of je nou in Citrix werkt of niet.
Device wordt dan ook vaak omgeruild voor disaster. :)

Hier ook, zakelijke laptop en prive pc. Geen mix. Op telefoons ook, ik loop wel met 2 telefoons.
Deed aan het begin nog wel eens, maar is nu wel gewoon te veel risico en moet je prive teveel afdekken voor zakelijk belang.
Op mijn middelbare school was dat ook zo jaren geleden, maar dan moest je alsnog software van hun op je eigen laptop zetten. In mijn geval nogal een probleem, aangezien ze o.a. hun Windows-only antivirus op mijn Linux-laptop wilden zetten...
Zo'n concept kan goed zijn om de veiligheid niet bij de gebruikers te leggen.
niets mis met BOYD, alleen moeten ze het dan wel goed inregelen. Als ik naar mijzelf kijk mijn laptop hangt niet in het domein, ik connect ook niet op het interne netwerk als ik zelf op kantoor ben, altijd via een publieke wifi verbinding.

Ik gebruik enkel en alleen VDI om in te loggen op het bedrijfsnetwerk, op mijn VDI terminal gebruik ik mijn teams/zoom/mail etc, al mijn admin werk doe ik vanuit mijn jumpbox (server waar ik met RDP naar toe connect) waarmee ik inlog met een 2de domainaccount met een ander wachtwoord

Met mijn eigen domainaccount (waarmee ik dus zoom/teams/mail etc gebruik) heb ik geen enkele rechten, ik ben niet eens admin over mijn eigen VDI sessie, als ik iets admin-achtigs wil doen moet ik dat dus doen via mijn jumpbox
Als detacheerder zie ik bij verschillende bedrijven dat de technische mensen (developers, testers, etc.) vaak gewoon administrator rechten krijgen op hun machines. Dat is soms ook wel nodig, maar dat maakt je netwerk wel een stuk kwetsbaarder als dat niet goed gemonitord/gemanaged wordt.

Bij bedrijven waar IT een belangrijk onderdeel is van de bedrijfsvoering is dat vaak wel goed geregeld is mijn ervaring, maar bij bedrijven waar IT meer een ondersteunende rol heeft is dat niet altijd het geval.
Het is andersom: op zijn thuiscomputer had ie Plex staan. Een stukje privésoftware. En vanaf diezelfde pc werkte hij voor LP. Dat is dus een risico.
Het meest onbegrijpelijke vind ik dat hij zelf nog het 2FA verzoek heeft goedgekeurd. Dat is toch een beetje apart. Misschien deden ze het tegelijk met hem, omdat ze toch zijn keystrokes mee konden kijken. Dat ze zagen dat ie ging inloggen en dat dus zelf ook meteen deden en zodoende ongemerkt konden meeliften. Dan mislukt het inloggen 1x en daar denk je niet meteen wat van, maar dat waren dus de hackers...en dan doe je het gewoon nóg een keer.

Misschien dus beter om voor programmeurs voor dergelijke systemen alleen maar toe te staan dat ze ofwel op een volledig afgeschermde pc werken die dedicated voor het bedrijf is, óf via een VM waar heen andere software op geïnstalleerd mag worden dan werkgerelateerde software.
Of bij MFA scherm moet je code intypen, zoals het vroeger met RSA - tokens was. Niet makkelijk maar wel.
En ook systeem moet geen meerdere logins van dezelfde gebruiker toestaan, en meteen alerts genereren.
Kortom, basic veiligheid maatregelen.
Nouja...uiteindelijk gewoon de zwakste schakel er tussenuit halen. Geen mensen meer toelaten op dat systeem. Niemand. Tot dat moment blijf je dit soort incidenten houden, dat garandeer ik je. Je kunt mensen nu eenmaal niet veranderen. Ook jij kunt één keer de fout in gaan. Zelfs de grootste, meest ervaren professionals gaan wel eens de mist in. Kijk maar eens naar vliegtuigongevallen. Het zijn soms hele stomme fouten, die je niet verwacht van een piloot met zeg maar 2000 uur ervaring op zo'n toestel. Zelfs iemand met alleen maar goede aantekeningen op zijn checks kan ooit een keer op het verkeerde been worden gezet en iets obvious negeren. Achteraf denk je dan 'hoe kan ie dat nou doen'. Nou ja...omdat het een mens is. Daarom.
Misschien is het andersom; de medewerker had thuis zijn zakelijke tools op zijn prive PC staan, waar ook Plex draaide met een zwaar verouderde versie. Zie ook de inleidende paragraaf:
De hack had voorkomen kunnen worden als de werknemer, op wiens thuiscomputer de malware werd geïnstalleerd, de software had geüpdatet.

[Reactie gewijzigd door CH4OS op 22 juli 2024 14:36]

De medewerker heeft domme fouten gemaakt, maar de organisatie die dit mogelijk heeft gemaakt des te meer. Toegang tot de master keys tot een server door 1 persoon binnen een organisatie welke handelt in vertrouwen van voor de klanten soms zeer gevoelige gegevens? Geen dedicated laptop voor nodig? Waartoe de toegang enkel mogelijk is als er twee mensen aanwezig zijn?
Wat ik niet begrijp is dat Lastpass niet simpelweg de (online) toegang tot de databases blokkeert zodra blijkt dat de gebruikte versie veel te oud is en/of deze dusdanige kwetsbaarheden heeft dat dit kan leiden tot datalekken.

Het gaat hier namelijk niet om een spelletje waarmee je rustig kan wachten voordat je een update uitvoert.
Dit lek heeft helemaal niets te maken met de client-software, en clients moeten per definitie als onveilig beschouwd worden.

Op dit item kan niet meer gereageerd worden.