LastPass – een van ‘s werelds toonaangevende wachtwoordbeheerders – maakt melding van een veiligheidsincident waarbij de broncode en technische gegevens van de service zijn gestolen.

Volgens LastPass, werd er aan aantal weken geleden ongebruikelijke activiteit opgemerkt in hun ontwikkelomgeving. Na het starten van een onderzoek ontdekte de dienst dat een onbevoegde partij inderdaad toegang had gekregen tot bepaalde delen van de technische kant van LastPass, via een gecompromitteerd werknemersaccount. Door de inbreuk werden bepaalde delen van de LastPass-broncode en bepaalde eigendomstechnische informatie gestolen.

LastPass houdt echter vol dat geen van de gebruikersgegevens, inloggegevens, wachtwoorden, hoofdwachtwoorden, versleutelde schijven of de informatie die ze bevatten is gestolen of gevaar loopt. Alle services van de provider werken normaal en de gebruiker hoeft zijn wachtwoord of inloggegevens niet te wijzigen.

Op dit moment voert LastPass een grondig onderzoek uit naar het veiligheidsincident, waarbij de hulp wordt ingeroepen van een niet nader genoemd “toonaangevend cyberbeveiligings- en forensisch bedrijf“. In de tussentijd verzekeren bedrijfsvertegenwoordigers klanten dat ze het incident onder controle hebben en aanvullende beveiligingsmaatregelen hebben genomen om de service te beschermen.

Volgens Bloomberg heeft LastPass wereldwijd meer dan 33 miljoen gebruikers. Cybersecurity-portaal Bleeping Computer meldt dat meer dan 100.000 van de klanten van LastPass bedrijven en ondernemingen zijn.

Afhankelijk van het soort broncode dat bij de inbreuk is gestolen, kunnen kwaadwillende aanvallers de algoritmen die nodig zijn voor het automatisch genereren van wachtwoorden van de service reverse-engineeren en zo toegang krijgen tot gebruikersaccounts.