LastPass-gebruikers doelwit van credential stuffing-aanvallen

[Captain Kirk]

Gebruikers van online wachtwoordmanager LastPass zijn het doelwit geworden van credential stuffing-aanvallen, zo laat het bedrijf weten. Op Hacker News maakten verschillende gebruikers melding dat ze van LastPass een e-mail hadden ontvangen dat er was geprobeerd om op hun account in te loggen.

LastPass, dat gebruikers hun wachtwoorden in de cloud laat opslaan, verstuurt e-mails wanneer er een inlogpoging vanaf een andere locatie of apparaat is ondernomen. In een reactie op de meldingen van gebruikers stelt LastPass dat het om credential stuffing gaat. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen.

Er werd op Twitter ook gesuggereerd dat inloggegevens mogelijk via malware of phishing waren bemachtigd, maar dat is volgens LastPass ook niet het geval. Daarnaast zijn er voor zover bekend geen accounts bij de credential stuffing-aanval gecompromitteerd. Wat betreft de beveiligingswaarschuwingen die gebruikers ontvingen zijn die waarschijnlijk ten onrechte verstuurd. LastPass zegt dat het de waarschuwingssystemen heeft aangepast en het probleem nu is verholpen.

Daarnaast waarschuwt LastPass gebruikers om geen wachtwoorden te hergebruiken en voor het master password, waarmee er toegang tot opgeslagen wachtwoorden wordt verkregen, een passphrase te kiezen.

 

bron: https://www.security.nl