LastPass meldt datalek via populaire Klue-integratie met Salesforce

LastPass laat klanten weten dat het slachtoffer is van een datalek via Klue, een marktanalyseplatform. Die tool is via het Salesforce-platform geïntegreerd. De cyberaanval trof via deze weg veel meer bedrijven.

In een e-mail aan klanten laat LastPass weten dat er data is gestolen via het Salesforce-crm, een systeem voor customer relationship management. Daarbij maakten de aanvallers contactgegevens, accountinformatie en klantenservicedocumenten van gebruikers buit. Via de klantenservice delen gebruikers vaak veel andere gegevens. Dat gebeurde bijvoorbeeld ook bij het uitlekken van ID-bewijzen via Discord.

Voorlopig hebben LastPass en het overkoepelende Salesforce de integratie met Klue verwijderd. De gevolgen van de cyberaanval zijn nog onduidelijk.

Klue als zwakke plek

Klue is een marktanalysetool die in veel platforms is geïntegreerd. Daarom zijn waarschijnlijk veel meer bedrijven via Klue slachtoffer van het datalek. Onder meer Recorded Future, Tanium, Jamf, Sprout Social, Gong en Insurity hebben volgens BleepingComputer al gemeld dat zij bij het datalek betrokken zijn. De belangrijkste is vooralsnog Salesforce, dat voor zover bekend het grootste crm is.

In een blogpost laat Klue weten dat het op 12 juni de 'ongeoorloofde toegang' ontdekte. "Ons onderzoek wijst uit dat de aanvaller via gestolen legacyinloggegevens toegang kreeg. Daarmee kreeg de aanvaller OAuth-tokens in handen die werden gebruikt om Klue met derden te verbinden, waaronder Salesforce."

Klue

Door Yannick Spinner

Redacteur

23-06-2026 • 08:39

84

Submitter: Jermaine

Reacties (84)

Sorteer op:

Weergave:

Last pass weer :?

Samen met salesforce komen deze de laatste jaren niet echt possietief in het nieuws.

De bedrijven moet serieus naar hun secreet gaan kijken… Kan wel zijn dat ze niet zelf gehackt worden, maar als ze altijd betrokken zijn. Dan moet je toch ook in de spiegel kijken..

[Reactie gewijzigd door ewoutw op 23 juni 2026 08:48]

Het was destijds voor mij de reden over te stappen, Bitwarden in mijn geval. Alles over gezet en gelijk al mijn data verwijderd daar. Zo te zien heb ik een goed besluit gemaakt toen.
In de verlenging van Bitwarden; beste is om een lokale Vaultwarden te hebben draaien met automatische backups. Ik doe al jaren geen cloud wachtwoorden meer. Altijd wel weer iets.
Ik heb zelf nooit gebruikt van de "cloud" voor het opslaan van mijn belangrijke wachtwoorden. Het klinkt voor mij heel tegenstrijdig om iets van jezelf wat belangrijk is aan een ander te geven en hopen dat die geen kwaad in de zin heeft of niet competent is.

Dat gezegd hebbende, ik kan me voorstellen dat het voor veel mensen dat toch nog beter is, dan zelf met "geheim123" wachtwoorden te werken.
Ik neem aan dat Bitwarden alles ook lokaal encrypt met een key die het device nooit verlaat?
De enigen die dan een kans hebben bij je wachtwoorden te komen zijn state actors die het heel, heel graag willen of de grote techbedrijven als ze echt geld teveel hebben. Iedereen met een supercomputer, maar die hebben ieder en elk ook andere manieren om aan je wachtwoorden te komen.
Probleem is als je zoiets voorstelt... hoe goed beveiligd jij de boel? Of een ander die je adviseert om het zo te doen. De meeste mensen hebben gewoon geen flauw benul! Even installeren, backup regelen en klaar....
Goh, 1 geëncrypteerd bestand lokaal op je PC is een veel kleiner doelwit voor hacks dan een server met alle paswoorden van duizenden users.

Dan moeten ze al heel gericht op jou aanvallen, en op jouw lokale computer geraken.

Dan als je een goede paswoord manager gebruikt zoals die lokale Bitwarden of KeePass, kan je dit heel makkelijk zelf opzetten.

Natuurlijk, bij lokale password managers gaan die niet syncen tussen verschillende apparaten. En backups moet je inderdaad zelf regelen.

[Reactie gewijzigd door Honytawk op 23 juni 2026 10:24]

Het syncen en backups hebben is net het pluspunt van derde partijen.

Er is CRM data gelekt, maar geen password data. Die zijn als het goed is encrypted adhv je eigen master password.
Dit is inderdaad een heel goed punt. Ik weet dat ik in mijn vrije tijd geen tijd wil besteden aan zoiets dus besteed ik het uit aan een bedrijf.

Ja het is een risico, maar het als ik het in eigen beheer neem is mijn grootste verdedigingslijn waarschijnlijk het feit dat er niet duizenden andere mensen gebruik van maken.
Nu maar hopen dat ze het daadwerkelijk verwijderd hebben destijds.
Alles kan worden gehackt. Het is niet de vraag of maar wanneer. Dus ook Bitwarden wordt een keer gehackt.
Sorry, maar de Titel van het artikel zou moeten zijn dat "Klue is gehackt en ..." Ben geen fan van LP ( jaren geledne all afgestapt) maar in dit geval zijn ze niet de enige die via Klue is gegacht.
Totaal mee eens. Nu is al het commentaar op het Lastpass product, terwijl het daar totaal niet over gaat. Een data processor (Klue) is gehacked. Deze heeft een plugin voor een salessysteem (salesforce) en krijgt sales data uit dat sales systeem om inzichten te geven. Doordat dit een algemeen gebruikte plugin is zijn meerdere bedrijven geraakt en hebben meerdere bedrijven, waaronder LastPass, een datalek.

Anderen zijn waarschijnlijk Adobe, Zendesk, SurveyMonkey, AutoDesk, SAS, Zscaler, Datto, VMware, Juniper, Dell, Shopify, Autodesk (om maar eens wat grote namen te noemen die ze vermelden als klant op hun website). Als de rest van deze bedrijven het nog niet heeft gemeld, dan komen zij eigenlijk hun taak als Data Controller niet goed na, maar kan zijn dat zij het nog in onderzoek hebben of vinden dat de datalek een niet 'groot risico' vomrt voor de Data Subject en daarom geen melding doen.
Na een snelle check lijkt het erop dat Zscaler buiten schot blijft, maar dat LastPass wel klantdata heeft gelekt. Het probleem ligt blijkbaar niet 100% bij Klue zelf, maar bij de manier waarop LastPass Klue heeft ingericht en de database heeft blootgesteld. Ik heb het niet tot op de bodem uitgezocht (ik ben gelukkig al jaren weg bij LastPass), maar het heeft er alle schijn van dat LastPass hier simpelweg mede schuldig aan is.
Ik zou zeggen lees nog even na wat er gebeurd is voordat je wijst naar LP.

Quote< an attacker gained access through a compromised legacy credential associated with an integration service. The attacker used that access to obtain OAuth tokens used to connect Klue with certain third-party platforms, including Salesforce, >Quote.

Met andere woorden iedereen die klant is/was liep het zelfde risico.
Ook sorry voor jou, dit artikel gaat duidelijk over de melding die LastPass heeft gedaan. Hoe hadden ze de titel dan moeten schrijven volgens jou?
Nou zo als mijn eerdere comment al zei : Klue is gehackt.

Als hier was alleen LP gehackt was een andere verhaal. Nu heeft LP toegegeven dat zij getroffen zijn via een hack bij toeleverancier en dat is wel een belangrijke nuance want dat impliceert dat er meer bedrijven zijn ook getroffen.
Het artikel klopt gewoon met de titel.
Bij dit soort dingen moet je vanuit de gebruiker denken, niet vanuit de techniek. Een Lastpass gebruiker heeft niets aan nieuws dat Klue is gehackt. De meesten weten waarschijnlijk niets eens wat dat is en dat het onder de motorkap wordt gebruikt.
Ik ben helemaal geen fan van online paswordmanagers. Dat zijn gewoon interessante plekken die als een magneet hackers aantrekken. Ik gebruik liever een lokaal werkende passwordmanager (in mijn geval Password Safe met een lokaal opgeslagen database. Van zowel de database als het programma maak ik wel regelmatig een backup (zip met wachtwoord) op een OneDrive.
Dit durf ik zelf niet zo stellig te zeggen. Het voordeel dat een lastpass heeft boven een notepad of een applicatie zoals keepass, is de integratie met de browser via een extensie.

De meeste credentials die een standaard gebruiker moet invoeren, zullen in de browser ingevoerd worden. Lastpass en dergelijken bieden de mogelijkheid om de inlogpagina te detecteren, automatisch nieuwe credentials te detecteren, en bestaande credentials automatisch in te voeren. Dit biedt uiteraard gemak, wat lekker is, maar zorgt er ook voor dat een standaard gebruiker niet gewend is ergens wachtwoorden in te vullen.

Ik weet niet hoe vaak het nog gebeurt, maar het spoofen van een inlogscherm was een populaire methode om inloggegevens te stelen. Op een gespoofde website zal een wachtwoordmanager geen credentials automatisch invullen. Gezien de gebruiker niet gewend is gelijk klakkeloos het wachtwoord in te vullen, moet deze nadenken. Dat koopt tijd waarin de gebruiker zich kan realiseren dat de website nep is. Dit is ook de reden dat Single-Sign-On gezien wordt als beveiligingsmaatregel.

Nu durf ik niet te zeggen of er onderzoek is gedaan naar of dit nu daadwerkelijk helpt. Ik weet alleen dat het een bekend argument binnen de cyber security sector is. Vandaar dat ik de stelligheid wil afzwakken.
Een lokaal notepad bestandje is redelijk veilig, maar als je computer kapot is, heb je er niet veel aan. Ook als je een website vanaf een andere computer of je telefoon wilt benaderen is zo'n bestandje niet handig.

Met een online gecodeerde (zip) kopie is dat te ondervangen, al moet je dan wel zelf het wachtwoord van de cloud provider en het bestandje onthouden. Of het veilig is hangt helemaal van jouw af. Als je computer vaak aanstaat en aan het internet is gekoppeld, noem ik het niet veilig.

Online password managers herkennen de gespoofde websites en dat is wel een veiligheidsvoordeel ten opzichte van een lokaal bestand en handmatig kopiëren van de wachtwoorden.
Het laatste lastpass incident in 2023 heeft mij laten wisselen naar een andere paswoord manager (samen met het wijzigen van al mijn wachtwoorden).
nieuws: LastPass-hack vond plaats door hooggeplaatste werknemer te hacken
Alweer LastPass.... tijd dat ze er mee stoppen!
Beter het artikel lezen.. In dit geval is het zowel niet Lastpass als ook niet Salesforce, maar een 3rd party plugin op salesforce die getroffen is.

Als een browser plugin geraakt wordt op je pc, zeg je ook niet dat je dan maar moet stoppen met je OS leverancier of met de browser?

LastPass meldt alleen het datalek omdat zij de Data Controller zijn en verplicht zijn de melding te doen over de data van de Data Subjects (die in dit geval in hun sales systeem staan). De processor doet de melding bij de controller.

Tweakers had ook beter het artikel kunnen schrijven vanuit Klue. Dat zij getroffen zijn en dat meerdere bedrijven daarom een datalek hebben. Nu stopt iedereen te lezen na "Lastpass meldt datalek", lezen het artikel niet meer en gaan daarna volledig in op het product wat Lastpass aanbiedt, waar het in dit geval totaal niet over gaat.

[Reactie gewijzigd door SunnieNL op 23 juni 2026 09:36]

Er gaat hier wel degelijk op dat het bij lastpas speelt. Klanten hebben namelijk een relatie met lastpas, dat bedrijf kiest er voor om de gegevens met het het bedrijf saleforce te verwerken. De verantwoordelijkheid is niet alleen bij salesforce te leggen terwijl die geen gegevens kunnen verwerken als lastpas geen vertrouwen in ze heeft. Kennelijk misplaatst vertrouwen en zonder duidelijk aantonen dar het verstandig is de gegevens van klanten daar te verwerken tot het (weer) te laat is.
Het gaat niet om Lastpass, het gaat ook niet om Salesforce, het gaat om Klue. En Klue integreert niet alleen in salesforce, maar ook met Office 365 en nog andere pakketten.

En als je mijn tekst goed leest dan staat daar ook duidelijk dat LastPass de data controller is en daarom de data subjects informeert, alle personen die Klue uit de andere systemen (waaronder salesforce) heeft gehaald. 99% van de commentaren hier gaat echter over het password manager product van Lastpass en denken allemaal dat die gegevens zijn gelekt en dat blijkt ook uit de persoon op wie ik reageer die zegt "alweer lastpass, tijd dat ze er mee stoppen". Maar dat is hetzelfde als dat je zegt "alweer microsoft, tijd dat we daar mee stoppen" als het om een datalek gaat bij een browser-plugin, waarbij die browser draait op een microsoft OS.

Het hele artikel had over Klue moeten gaan en dat LastPass naast een hele rij andere klanten van Klue, ook geraakt is en blijkbaar als eerste de data subjects informeert. Je kunt je beter afvragen waarom al die andere klanten van Klue dat nog niet doen. Adobe is bv. ook geen kleintje, maar daar heb ik nog niets van gehoord.

Dus nogmaals, het datalek is bij Klue. Zij zijn echter data processor. Daarom moeten de data controllers hun data subjects informeren, dat doet een data processor namelijk niet. Die informeert alleen de controller. De controller doet vervolgens een datalek melding bij de autoriteiten op het moment dat er een hoog risico is voor de data subjects. De controller besluit vervolgens of hij ook de data subjects informeert, want dat moet hij doen als de controller denkt dat de data subjects een zeer hoog risico lopen door de gelekte data.

Daar zit dus een zeer groot verschil in en je kunt je afvragen waarom Lastpass het blijkbaar wel nodig vind de data subjects te informeren en de andere bedrijven die gebruik maken van Klue, niet.

[Reactie gewijzigd door SunnieNL op 23 juni 2026 11:42]

Het feit dat een van de bedrijven een verwerkingerantwoordelijke is en de ander een verwerker maakt het voor het bedrijf dat haar klanten moet inlichten niet minder een lek. Het lek is namelijk ook dat ze de gegevens aan een bedrijf hebben verstrekt dat er niet zorgvuldig mee kon ongaan.

Het feit dat de verwerkingsverantwoordelijke moet informeren is juist ook omdat deze de keuze heeft gemaakt de gegevens die niet mogen lekken aan een bedrijf te verstrekken dat dit wel heeft gedaan. Dat is onderdeel van het lek. Er is niet minder een lek bij lastpas door selectief te negeren dat er voor klanten van lastpas geen lek zou zijn als die verwerking door lastpass aan salesforce en klue niet zou bestaan. En al die handelingen zijn hier belangrijk voor het bestaan van het lek, niet slechts wat salecefoce en/of klue heeft nagelaten.
Het probleem is dat iedereen net doet of het alleen om Lastpass gaat.. En dat is niet het geval.

Het is bij Klue, de titel is een clickbait en had veel meer waarde gehad als je het op die manier ook zou brengen dat het om een veel groter datalek gaat.

Het is mij een raadsel waarom dit artikel is gehangen aan Lastpass en iedereen alleen daar op reageert (nouja.. weet wel waarom, gezien de type reacties heeft iedereen alleen de titel van het artikel gelezen en de rest volledig genegeerd en zelfs het woord Klue eruit gefilterd door de meeste mensen).

Daarom zeg ik dat het niet om Lastpass gaat. Het is zo enorm veel groter dan het nu wordt gebracht.

Stel dat je het artikel had geschreven op deze manier, dan was het in mijn ogen een veel beter journalistiek geheel geweest zonder paniek te zaaien of dit alleen om lastpass te laten gaan en gelijk aangegeven dat dit gaat om een enorrm lek.
Toeleverancier Klue getroffen door datalek: klantgegevens tientallen techbedrijven buitgemaakt

Het marktanalyseplatform Klue is het slachtoffer geworden van een cyberaanval. Omdat de software van Klue diep is geïntegreerd met de Salesforce-omgevingen van veel grote bedrijven, heeft de hack geleid earned tot een enorme kettingreactie. Onder andere LastPass, Huntress en Recorded Future hebben inmiddels gemeld dat zij via dit lek zijn getroffen.

In een officiële verklaring laat Klue weten dat aanvallers op 12 juni toegang kregen tot hun systemen via gestolen, verouderde inloggegevens. De hackers wisten hiermee digitale toegangssleutels (OAuth-tokens) te bemachtigen. Met deze sleutels konden zij namens de zakelijke klanten van Klue inloggen op hun Salesforce-CRM-systemen.

Omdat Salesforce zelf niet is gehackt, maar de hackers legitieme (gestolen) sleutels van Klue gebruikten, stonden de deuren naar de databases van talloze bedrijven wijd open. De aanvallers hebben via deze weg contactgegevens, accountinformatie en documenten van de klantenservice buitgemaakt.

Kettingreactie volgens de privacywetgeving

Omdat Klue fungeert als verwerker (processor) van de gegevens, ligt de technische fout volledig bij hen. De privacywetgeving (AVG) bepaalt echter dat de bedrijven die de data bezitten — de verwerkingsverantwoordelijken (controllers) — de wettelijke plicht hebben om het incident af te handelen richting de eindgebruiker.

Dit verklaart waarom er nu een golf aan afzonderlijke meldingen op gang komt:
  • Meldingsplicht: Zodra Klue haar klanten informeerde, ging voor al deze bedrijven de wettelijke teller van 72 uur lopen om het lek te melden bij privacytoezichthouders.
  • Getroffen bedrijven: Bedrijven zoals LastPass, Jamf, Recorded Future, Tanium en Sprout Social hebben inmiddels aan deze verplichting voldaan en zijn begonnen hun eigen klanten (de data subjects) te informeren over welke gegevens er precies zijn ingezien.
Voor gebruikers van LastPass is het belangrijk om te weten dat de centrale wachtwoordkluizen hier volledig buiten staan; het lek heeft uitsluitend betrekking op de klantinformatie en supporttickets die via de Salesforce-koppeling met Klue waren verbonden. De integratie tussen Klue en Salesforce is door de partijen per direct stopgezet zolang het onderzoek loopt.
Laten we dan ook meteen met Salesforce stoppen, als we dan toch bezig zijn...
Cloud based wachtwoorden oplaan is m.i. gewoonweg niet goed.
Elke vorm van password sharing heeft extra risico's. Cloud, selfhosted of op papier, er kan altijd ongeoorloofd toegang plaatsvinden. In dit geval is er echter niks mis met de wachtwoordbescherming. Dit is een datalek waarbij persoonsgegevens zijn gelekt.
Password sharing in de zin van ‘delen met meerdere personen’ dat is al helemaal uit den boze. In de zin van ‘ergens op een share zetten’ beperk je de mogelijkheid tot onbevoegde toegang als je het niet in de cloud zet. 100% veilig krijg je het nooit.
Met het eerste ben ik het zeker met je eens ;) Al bieden veel cloud password providers juist wel een methode dit gecontroleerd te doen, net als lastpass omdat je soms toch een wachtwoord wil delen, in mijn opinie dus beter dan via een share. Daarnaast is een share lokaal gemoeit met andere risico's en vooral beperkt tot de kennis van de beheerder. Zo zou ik deze zelf nooit open zetten naar het internet maar wil je toch je wachtwoorden on-the-go kunnen benaderen, en dan vind ik een cloud service echt zo slecht nog niet. Weet wat de risico's zijn en ongeacht je voorkeur zorg voor goede beveiliging, waarin MFA eigenlijk op zijn minst moet zijn toegepast voor alles met enige waarde.
In jouw voorbeeld is op papier zetten wel het veiligst.
Pjotter gaat niet naar mijn huis om mijn WW-boekje te lezen, maar wel websites services hacken.
Het veiligst? Dat is afhankelijk van de situatie lijkt me. Ja ik heb een recovery op papier staan welke thuis ligt opgeborgen, veel veiliger* wordt het niet (*al zitten hier ook risico's aan..). Maar als ik een wachtwoordt deel op papier schrijf voor een ander, of als je het wachtwoord boekje dagelijks mee neemt met het openbaarvervoer, is dit wellicht niet meer de veiligste oplossing :)
Ik ben het 100% met je eens, je geeft je waardevolle gegevens bijna direct aan deze en daaraan gelieerde partijen.

Het klinkt ouderwets, m.i. gaat er niets boven lokale opslag waarbij jezelf in control bent.
Totdat je internet of hardware faalt, en dan?
KeepassXC, Database bestand op meerdere locaties opslaan. Een lokaal op je device en een op je usb/externe disk.
Wat voor meerdere locaties dan als je alles in eigen beheer wilt houden? Hoe hou je die in sync? Ik heb het geprobeerd en liep meerdere keren tegen praktische problemen aan dat het ene device een wachtwoord wel had en de ander niet, ellende.
Voor mobiel hebben ze een app. Sync van het database bestand doe ik met Onedrive.

Edit: De appnaam is Keepass2Android (moest ff zoeken :P) Ze ondersteunen dit soort syncs natively bijv via Onedrive zoals ik dat doe, Dropbox, Google Drive, Nextcloud ect.. Superhandig.

[Reactie gewijzigd door JacOwns7 op 23 juni 2026 09:26]

Ah, gelukkig gebruik je geen cloud voor de sync en kan Onedrive ook niet getroffen worden door een datalek ;)
"The database is encrypted with either the industry-standard AES256 or the Twofish block cipher and the master password is strengthened by a configurable number of key transformations to harden it against brute force attacks."

Ofterwijl, niet zo bang voor ;)
Dat is dus precies wat tools als LastPass en Bitwarden ook voor je doen. Waarom ben je er dan wel bang voor? OneDrive is niet lokaal ieder geval.

[Reactie gewijzigd door Cartman! op 23 juni 2026 09:39]

Er zit wel een degelijk verschil in dat jij altijd het beheer van je database bestand blijft houden. Als die clouddienst ermee kapt, kun je lekker de hele boel overhevelen. Stopt OneDrive ermee? Pak ik mijn DB file en verhuis ik hem naar Nextcloud bijv.

Al mijn wachtwoorden naar zo'n clouddienst pompen voelt gewoon niet goed imo. KeepassXC is tevens opensource.
Je kunt bij de andere password managers ook gewoon een kopie/export maken en importeren in een andere dienst. Zo ben ik simpel overgestapt van LastPass naar Bitwarden.
Al mijn wachtwoorden naar zo'n clouddienst pompen voelt gewoon niet goed imo.
Maar dus precies hetzelfde als je nu doet met OneDrive. Die password managers downloaden gewoon een bestand, die pakken ze lokaal uit met je master password.

Open source is niet per definitie veiliger dan closed source ook.
Je kunt bij de andere password managers ook gewoon een kopie/export maken en importeren in een andere dienst. Zo ben ik simpel overgestapt van LastPass naar Bitwarden.
Ok, dat wist ik niet. Dat is zeker handig.
Maar dus precies hetzelfde als je nu doet met OneDrive. Die password managers downloaden gewoon een bestand, die pakken ze lokaal uit met je master password.
Het verschil zit het hem mij in dat ik ten aller tijden beheer heb over mijn encrypted DBX bestand, en hem daarmee dus ook offline kan gebruiken zolang die up to date is (wat ik dagelijks doe)

Daarnaast kun hem ook inrichting met een Key file. Dan sync je alleen je DBX, terwijl de Keyfile die hem unlocked, nooit de cloud aanraakt. Zoals @waltij aangeeft.

Dat laatste ben ik mee eens. Maar KeepassXC is zeer veilig. Daar worden doorgaans, net zoals die closed source clouddiensten audits op gedaan.

Het lijkt er mij op dat je content bent met je huidige oplossing. Ik ben dat met deze. Dat we ieder een oplossing als deze gebruiken, lijkt me het belangrijkste :)
OneDrive kan dan wel getroffen worden, maar zolang de Keepass Database encrypted is, ik een 24+karakter wachtwoord en een keyfile heb waarmee die database beveiligd is, denk ik dat ik redelijk veilig zit. De keyfile staat op een USB stick die ik bij me heb en een kopie daarvan op mijn lokale SAN.
Maar zelfs als de database wordt gelekt dan heeft een aanvaller er nog weinig aan. Je hebt dan een versleutelde database, en zolang er geen simpel wachtwoord op zit kom je er niet (snel) in.


Zelf gebruik ik overigens Syncthing hiervoor, dat werkt ook prima, maar dat had ik toch al draaien voor wat andere zaken. Dan kan die paar kb voor de Keepass DB er ook wel bij.
Dat is in principe hetzelfde als bij de cloud diensten. Ook daar zijn de wachtwoorden opgeslagen in een versleutelde database. Toch vertrouw je je eigen on-premises cloud beter. Terwijl het gros van de mensen daar dan weer een cloud dienst gebruiken voor syncen of zelf toegang moeten regelen (met vaak alle gevolgen van toegang van dien). Genoeg NASsen die vatbaar zijn voor hackers waar je dan je wachtwoorden op hebt staan. Ook Keepass heeft genoeg CVE's gehad waarmee de wachtwoorden konden lekken.

Dus ik zie niet zo goed in wat het lokaal hosten van je wachtwoorden oplost. Behalve dat het je meer werk kost. Risico's zijn in beide gevallen precies hetzelfde.
Dus ik zie niet zo goed in wat het lokaal hosten van je wachtwoorden oplost. Behalve dat het je meer werk kost. Risico's zijn in beide gevallen precies hetzelfde.
Zoals ik het teruglees (in de hele discussie) puur gevoel. Vrijwel niks van wat er benoemd is is specifiek voor selfhosted. Het verschil is alleen dat je in het ene geval zelf de cloud regelt en in het andere geval een ander dat al voor je opgezet heeft.
Afhankelijk van je eigen setup thuis.

Mijn Wow:

Keepass local op mijn telefoon (master), sync met mijn Synology is alleen mogelijk via een VPN tunnel. Devices thuis kunnen die share gewoon benaderen maar mijn telefoon blijft master.
Daar dien je van tevoren over na te denken.

Internet is niet zo'n probleem dat kan ook via een hotspot op 5G.

Hardware kan stuk gaan dus je moet je backup-beleid daarop aanpassen.
En hoe heb jij dat precies opgelost dan dat je er altijd en overal bij kan wanneer nodig, ook als je huis affikt?
Heb het DB bestand ook op mobiel. Offsite kopie ligt bij mijn ouders in de la. Die werk ik eens in de maand bij wanneer nodig. Zoveel passwords heb ik gelukkig niet.
gaat er niets boven lokale opslag waarbij jezelf in control bent.
Dat ligt eraan hoe goed je 'in control' bent. Dat ligt puur aan je eigen middelen (als in 'spullen die je hebt') en kunde. Cloud-providers zijn heel goed in het 'up-houden' van hun diensten. Ze zijn ook heel goed in fysieke beveiliging. (een data centre is gemiddeld genomen beter beveiligd dan een woonhuis op allerlei vlakken.)

Als jij een versleuteld bestand opslaat in een cloudopslag is er niet zoveel aan de hand als dat bestand 'buiten komt'. Zoals @JacOwns7 al schrijft. Een versleuteld bestand in je OneDrive kan prima zijn.
It's the LAST time you were the only person knowing your PASSword.

Maar ik ben het volledig eens dat hun beter kunnen stoppen, want op hun website als je die direct opent staat geen waarschuwing over dit lek, zou je wel verwachten toch?
In dit geval zijn ze een derde partij en niet direct de oorzaak zoals bij een aantal eerdere lekken.

Maar ze zijn wel veel negatief in het nieuws de laatste tijd - dat zal ze best dwarszitten.
Je had maar 1 taak...
Alweer een datalek bij Lastpass, dat bedrijf kan wel opdoeken want wie durft zijn wachtwoorden er nog te stallen? Een aantal jaren geleden ben ik geswitch naar en een bedrijf waar ik een beter gevoel bij had (Bitwarden), een goede keus als ik de lastpass berichtgeving zo lees.
Artikel wel gelezen?
Een aantal jaren geleden ben ik geswitch naar en een bedrijf waar ik een beter gevoel bij had (Bitwarden), een goede keus als ik de lastpass berichtgeving zo lees.
Het is een kwestie van tijd tot Bitwarden aan de beurt is.. daar nu iedereen daar naar toe overstapt. Dat zien die hackers ook en die gaan vroeg of laat ook daar proberen binnen te komen.
Het datalek is bij de data processor Klue, niet bij lastpass. Het is echter taak van de data controller (lastpass) om zijn data subjects te informeren.
Ik zal nooit een third party wachtwoord sleutelhanger gebruiken want je leest voortdurend dat die gekraakt worden.

iCloud sleutelhanger? Nog nooit gehackt. Ik zie echt geen enkele reden om mijn wachtwoorden te compromitteren door iets anders te gebruiken. Zodra Windows iets soortgelijks kan ontwikkelen dan is het snel afgelopen met die onveilige diensten schat ik.
Er zijn ook 3rd party wachtwoord managers die nooit gehackt zijn. De reden om wat anders te gebruiken is omdat je wellicht niet vendor locked te willen zijn.
Niet geheel waar, de sleutelhanger gebruikt AES encryptie, die is inderdaad nog niet gehack, maar wel iCloud accounts welke toegang hebben verschaft tot die wachtwoorden. Het risico is wel een stuk kleiner, zeker met de komst van hardware keys, waarbij dus toegang tot het apperaat nodig is. Overigens is Apple Passwords pas sinds 2024 te gebruiken, daarvoor was password management een kriem. De vraag is vooral, Would you like to place all your eggs in one basket?
“maar wel iCloud accounts welke toegang hebben verschaft tot die wachtwoorden.”

iCloud is letterlijk nog nooit gehackt. De enige toegang die verkregen is was op account die destijds geen 2fa ingeschakeld hadden en uitgelekte wachtwoorden gebruikten. Dit is overigens 12 jaar geleden gebeurd.

Zie het als gehackt=beveiliging gekraakt. Kraak ik de beveiliging van jouw deurslot als je sleutels op de grond liggen?

[Reactie gewijzigd door chrome moral op 23 juni 2026 10:36]

Ik snap je punt, maar ik wilde aangeven dat Apple, iCloud, net als andere leveranciers kwetsbaar is voor de zelfde aanvallen. In het geval van LastPass is al eens duidelijk geworden dat ze het niet op orde hebben, maar laat je niet voor de gek houden dat apple, naast microsoft, de enigste zijn die dit wel veilig kunnen aanbieden. Ik gebruik apple, maar ik heb mijn wachtwoorden gescheiden omdat ik wil voorkomen dat bij toegang tot mijn apperaat direct toegang tot alle wachtwoorden mogelijk wordt gemaakt. Wel ben ik fan van een hardware key. Pick what suits your needs, maar weet waarom je dit kiest en vertrouw niet blind op de naam :)
cc @chrome moral

De waarheid ligt ergens in het midden. Apple Wachtwoorden / Passwords bestaat al sinds Mac OS X in 2000 uit kwam, alleen heette het altijd Sleutelhanger / Keychain.

Werk je dagelijks met wachtwoorden, dan waren andere wachtwoordmanagers wel degelijk praktischer, uitgebreider en tijdbesparender, maar het verschil met Wachtwoorden is nu kleiner dan ooit.

Ik heb geen gedetailleerde tijdbalk van de afgelopen 25 jaar bij de hand, maar Apple heeft pas in de loop der jaren steeds kleine stappen gezet om het beter te integreren: Er kwam een Wachtwoorden app voor Windows die mee-synchroniseert, het integreert naadloos met je iPhone/iPad/AppleTV/Watch en het gemis aan meerdere, losse kluizen werd opgelost doordat je wachtwoorden nu kunt verplaatsen naar Gedeelde groepen. Het ondersteunt auth codes en je kunt notities maken per ww. Er kwamen waarschuwing voor gelekte ww, etc.

Apple heeft het voordeel dat ze achter de schermen meer kunnen zien. Is je iPhone ineens op een vreemde locatie, dan krijg je eerder een ww-check. Andersom kun je vanaf een tweede apparaat ook makkelijker alsnog je iPhone / Mac / etc alsnog ontgrendelen als die op hetzelfde Apple account staat, dan wanneer je die niet (in de buurt) hebt.

[Reactie gewijzigd door beeldbuijs op 23 juni 2026 12:10]

Haha, Ja ik gebruik keychain al heel lang (bewust en onbewust) en had ik op Leopard al lokaal wachtwoorden staan (Keepass style). Ik maakte vooral de vergelijking met iCloud Keychain die dus iedergeval kon synchroniseren. Echter is er pas een jaar of 5 een extensie beschikbaar buiten apple, voor gebruik op meerdere niet apple devices. Ik was heel blij met deze onwikkeling maar het heeft me ook een hoop hoofdpijn opgeleverd.
Multi platform is icloud keychain nog "jong" tov sommige concurenten. Daarnaast is het manage van passwords pas 2 jaar gebruiks vriendelijker gemaakt. Eerst had je als gebruiker geen benul dat MacOS/iOS het wachtwoordt beheerde, waardoor je vaak in veelvoud verschillende inlogs aanmaakte omdat deze niet goed autofill'de, en je niet de juiste inlog gegevens kon terug vinden omdat het wachtwoord gewijzigd was of omdat de url is aangepast. Wat vervolgens weer meldingen gaf op hergebruik van wachtwoorden. Persoonlijk vond ik het echt verschikkelijk. De nieuwe passwords (wachtwoorden app) is een stuk beter en is het pas sinds 2024 een (volwaardig) alternatief als je het mij vraagd.
Ja, dat klopt wel. Ik heb drie betaalde pw-managers versleten voor ik uiteindelijk na tien jaar of zo op Apple / iCloud Wachtwoorden ben overgestapt.

Het werkt niet altijd perfect bij websites, maar dat komt doordat er eindeloos veel implementaties zijn. Daarnaast heb je nu ook websites / diensten / apps die alleen nog inloggen toestaan via een eenmalig, gemaild wachtwoord. Daar struikelen dan natuurlijk alle pw-managers over.
Ik vind het wel zorgwekkend dat ik al ruim 2 jaar bij LastPass weg ben, dankzij de andere security problemen en toch die mail ook heb ontvangen.
Dear LastPass Customer,

We are writing to inform you of a recent security incident which occurred at one of our third-party suppliers, Klue (klue.com), a market intelligence platform which integrates with our Salesforce CRM and Gong. We have since learned that the incident at Klue is systemic and has had a broad impact across many other companies, including LastPass. Through the Klue integration, an unauthorized party was able to gain access to certain data within the LastPass Salesforce CRM. That data included customer contact details, organizational and account information, and customer support case records.

It is important to note that this incident originated with our vendor, Klue and impacted only those systems that integrate with Klue. LastPass products, services, and infrastructure were not impacted, and your passwords, credentials, and other content stored within your LastPass vault remain secure.

Upon discovering the incident, LastPass acted swiftly to disconnect the Klue integration and initiated a thorough investigation of available data and logs. Remediation has been completed, and the exposed credentials used with Klue have since been rotated.

What You Can Do

We recommend that LastPass customers remain vigilant of potential phishing attacks or social engineering attempts, which could leverage exposed contact details. Always exercise caution regarding unsolicited communications, including emails, phone calls, or requests for sensitive information. All official communication from LastPass comes through our trusted support channels.

Lastly, please remember that no one at LastPass will ever ask for your master password.

Need Assistance or Have Questions?

If you are in need of additional support, LastPass Support teams are available via support.lastpass.com or your existing LastPass support channels. You can also contact our Security team at securitydisclosure@lastpass.com.

Sincerely,

The LastPass Security Team
Niets zorgelijks aan. Je staat bij hen in de sales database. Vermoedelijk heb je nooit opdracht gegeven om al je gegevens te verwijderen. Ik word bv ook nog steeds gebeld door eneco of ik niet terug wil komen terwijl ik daar al 10 jaar geen klant meer ben.
Van de site van Eneco:
Geen klant meer?

We bewaren sommige informatie nog een tijdje als je geen klant meer bent. De meeste gegevens bewaren we maximaal 2 jaar. We mogen die bijvoorbeeld gebruiken om je een aanbod te doen voor een nieuw energiecontract. Sommige persoonsgegevens moeten we van de Belastingdienst 7 jaar bewaren.
Dus tien jaar zou niet moeten kunnen.

Overigens is het per 1 juli 2026 voortaan verboden voormalige klanten nog ongevraagd te benaderen met aanbiedingen, goede doelen en tijdschriften uitgezonderd.
Hier hetzelfde. Al jaren weg bij LastPass en krijg toch nog de mail.
Ik heb bij de vorige lekken ooit mijn lastpass account opgezegd en laten verwijderen, maar ik krijg nog steeds meldingen over mijn account en dit soort emailtjes. Inloggen op mijn account kan niet meer. Ik vrees dus dat ze ook nog steeds alles hebben opgeslagen staan als het gaat om mijn gegevens en wellicht ook wachtwoorden.

Het is echt een ramp dot bedrijf en ze hebben de bedrijfsvoering in mijn ogen gewoon niet op orde.
Als je geen mail hebt gekregen ben je niet getroffen?

Om te kunnen reageren moet je ingelogd zijn