De hack die leidde tot een datalek bij wachtwoordenkluis lastPass, werd veroorzaakt door een werknemer die thuis bepaalde externe software al twee jaar geen update meer had gegeven.
LastPass maakte in augustus 2022 bekend dat het hackers over de vloer kreeg. Aanvankelijk klonk het dat er geen klantgegevens of wachtwoordkluizen waren gelekt. Tegen december kwam het daarop terug. De gegevens zijn wel met 256-bit AES versleuteling beveiligd, tenzij iemand je hoofdwachtwoord kan raden.
Nu is duidelijk hoe die hack is kunnen gebeuren. LastPass had zelf eerder al verklaard dat de oorzaak ligt bij externe software op de pc van een werknemer. Door daar malware uit te voeren konden toetsenaanslagen worden verzameld. Om welke software het ging werd aanvankelijk niet gezegd.
75 versies geleden
PCMag weet nu dat het om een kwetsbaarheid in Plex Media Server gaat, Software om onder meer je eigen mediabestanden te streamen op verschillende toestellen. Maar het gaat niet om een recent probleem. PCMag leerde dat het om CVE-2020-5741 gaat, een probleem dat Plex zelf al in mei 2020 had opgelost met een update.
De werknemer heeft de software dus meer dan twee jaar lang niet geupdate, intussen zijn er 75 nieuwe versies verschenen. LastPass bevestigde intussen ook aan PCMag dat het om Plex gaat, zonder verdere details over het exacte lek of waarom de werknemer geen updates had uitgevoerd.
Het probleem in kwestie kan, als de aanvaller toegang als administrator heeft, de camera upload functie gebruiken om malafide code te uploaden. Hoe er admin-toegang mogelijk was, is niet helemaal duidelijk.
PCMag wijst er op dat software in je thuisomgeving up-to-date houden belangrijk is om dit soort incidenten te voorkomen. Maar het wijst ook naar LastPass zelf, dat werknemers vanaf hun thuiscomputer toegang gaf tot zeer gevoelige data van haar klanten.
Fout opgemerkt of meer nieuws? Meld het hier