|
|
Lastpass - Hacking - Paswoorden - Privacy - Beveiliging
computerpiraterij
informatiebeveiliging
beveiliging van kritieke infrastructuur
persoonlijke gegevens
eerbiediging van het privé-leven
identiteitsdiefstal
| 7/3/2023 | Verzending vraag (Einde van de antwoordtermijn: 6/4/2023) |
| 31/3/2023 | Antwoord |
Ook gesteld aan : schriftelijke vraag 7-1933
Ook gesteld aan : schriftelijke vraag 7-1934
Voor de 25,6 miljoen gebruikers van de beveiligingsdienst LastPass deed het bedrijf op 22 december 2022 een zorgwekkende mededeling: een beveiligingsincident dat het bedrijf eerder (op 30 november 2022) had gemeld, was in werkelijkheid een grootschalig en verontrustend datalek dat gecodeerde wachtwoordkluizen – de belangrijkste onderdelen van elke wachtwoordbeheerder – blootlegde, samen met andere gebruikersgegevens (cf. https://www.wired.com/story/lastpass-breach-vaults-password-managers/).
De hacker kreeg toegang tot een back-up van de vaultgegevens van klanten, waarin zowel onversleutelde gegevens als URL's staan en versleutelde gebruikersnamen, wachtwoorden, notities en form-filled data. Deze versleutelde gegevens kunnen volgens «LastPass» alleen met het masterpassword worden ontsleuteld. Dit wachtwoord slaat LastPass niet op.
Dat masterpassword kan wel met bruteforcetechnieken achterhaald worden en de versleutelde gegevens zouden zo toch gelezen kunnen worden, erkent LastPass. Het bedrijf zegt dat als gebruikers de aanbevelingen van LastPass hebben gevolgd, zoals een master wachtwoord van twaalf tekens, dat het dan miljoenen jaren zou moeten duren voor het wachtwoord achterhaald wordt is «op basis van huidige gangbare bruteforce-technieken».
LastPass zegt meerdere stappen te hebben genomen om het risico op een vervolghack te verminderen, waaronder extra loggingmogelijkheden, nieuwe ontwikkelomgevingen en betere authentificatie van ontwikkelaaraccounts. Politiediensten en relevante toezichthouders zijn door LastPass ingeseind. Het bedrijf waarschuwt gebruikers ook voor phishingpogingen naar aanleiding van deze hack (cf. https://tweakers.net/nieuws/204814/lastpass-hackers-hebben-versleutelde-wachtwoorden-van-klanten-gestolen.html).
Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewest waarbij de rol van de Gewesten vooral ligt in het preventieve luik.
Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:
1) Zijn er gegevens beschikbaar van Belgische klanten die getroffen werden door deze hack? Zo ja, hoeveel? Zijn er klachten of processen-verbaal opgesteld over identiteitsfraude of aanverwante zaken die te maken hebben met de hack van deze service?
2) Hebben de veiligheidsdiensten aangegeven dat deze hack voor een verhoogd veiligheidsrisico zorgt voor onze diensten of infrastructuur? Zo ja, welke, hoeveel signalen, vanuit welke dienst waren ze precies afkomstig en wat werd met deze informatie gedaan?
3) Kan u meedelen of onze overheids- en veiligheidsdiensten gebruik maken van deze service om paswoorden op te slaan? Zo ja, welke diensten? En welke maatregelen werden getroffen na de melding dat gegevens en paswoorden gelekt waren?
4) Kan u meedelen of gevoelige sectoren (energievoorziening, ziekenhuizen, openbaar vervoer, enz.) gebruik maken van deze service om paswoorden op te slaan? Zo ja, welke diensten? En welke maatregelen werden getroffen na de melding dat gegevens en paswoorden gelekt waren? Welke risico's bestaan er volgens u sinds het lekken van de gegevens?
5) Wordt het gebruik van dergelijke paswoordkluizen aangemoedigd door overheids- of veiligheidsdiensten? Is het gebruik van dergelijke paswoordmanagers nog aan te raden, gelet op de huidige lekken? Zo neen, welke alternatieven worden er aangeraden? Zo ja, welke risico's zijn er dan?
Vraag 1) valt onder de bevoegdheid van mijn collega Annelies Verlinden, minister van Binnenlandse Zaken, Institutionele Hervormingen en Democratische Vernieuwing.
Vragen 2) tot en met 5) vallen onder de bevoegdheid van mijn collega Alexander De Croo, eerste minister als voordijminister over het Centrum voor cybersecurity België (CCB).