Al maanden is bekend dat de wachtwoordmanager LastPass beter gedumpt kan worden. De dienst is meermaals gehackt en keer op keer gaat de beerput een stukje verder open. Het laatste nieuwtje is een goede opsteker voor iedereen die pleit voor het strikt gescheiden houden van privé en zakelijk.
De kenners zijn het er al enige tijd over eens. De lekken bij LastPass wijzen op een organisatie waarbij het ontbreekt aan security kennis. Ook in andere opzichten is het een weinig professioneel bedrijf. De lekken zijn namelijk veelvuldig ontkend en pas schoorvoetend toegegeven als de bewijzen niet langer te ontkennen waren.
Die twee constateringen zijn de reden waarom op grote schaal wordt afgeraden nog langer deze dienst te gebruiken. Er zijn alternatieven van bedrijven die bewezen professioneler zijn. Let wel het gaat hier over wachtwoordmanagers. Als daar een lek is, komt waanzinnig veel data van gebruikers in gevaar. In het geval van LastPass speelt ook nog eens mee dat in tegenstelling tot wat de gebruiker verwacht, lang niet data in de wachtwoordmanager encrypted is opgeslagen !
Kinderspel
Inmiddels is ook wel redelijk bekend dat de oorzaak is van (een van) de hacks bij LastPass. De inloggegevens van een medewerker zijn ontvreemd. Daarmee konden de aanvallers toegang krijgen tot een deel van de afgeschermde ontwikkelomgeving, daarna was het kinderspel.
De aanval op de medewerker zelf was overigens ook kinderspel. Op zijn computer stond Plex, een pakket voor het afspelen van audio en video bestanden. Plex heeft niets te maken met werk, het is puur bestemd voor privé gebruik. Plex lanceert bijna maandelijks updates en dat voor de gratis en de betaalde versies. De medewerker heeft ruim twee (!) jaar lang zijn Plex pakket niet van updates voorzien. Een makkelijk uit te buiten lek is door de aanvallers benut om toegang tot zijn computer te krijgen.
Niet willen of niet kunnen?
Dit roept de nodige vragen op. Allereerst is er de vraag waarom uitgerekend een software ontwikkelaar weigert updates te installeren. Hij heeft ofwel totaal niet in de gaten gehad dat het programma op zijn computer stond of hij kon het niet updaten. Het eerste geval is in theorie mogelijk, maar het klinkt weinig aannemelijk. De andere optie is een hint naar het gebruik van een illegale versie.
Gescheiden
Beide verklaringen zijn ernstig, maar staan min of meer los van een andere constatering. Dat dit gedrag kon leiden tot zoveel schade bij LastPass komt omdat deze persoon privé en werk niet heeft gescheiden. Waarom is er van maar een computer gebruik gemaakt? Waarschijnlijk was er zelfs sprake van maar een gebruikersprofiel.
