|
|
Lastpass - Hacking - Paswoorden - Privacy - Beveiliging
computerpiraterij
informatiebeveiliging
beveiliging van kritieke infrastructuur
persoonlijke gegevens
eerbiediging van het privé-leven
identiteitsdiefstal
| 7/3/2023 | Verzending vraag (Einde van de antwoordtermijn: 6/4/2023) |
| 6/4/2023 | Antwoord |
Ook gesteld aan : schriftelijke vraag 7-1932
Ook gesteld aan : schriftelijke vraag 7-1934
Voor de 25,6 miljoen gebruikers van de beveiligingsdienst LastPass deed het bedrijf op 22 december 2022 een zorgwekkende mededeling: een beveiligingsincident dat het bedrijf eerder (op 30 november 2022) had gemeld, was in werkelijkheid een grootschalig en verontrustend datalek dat gecodeerde wachtwoordkluizen – de belangrijkste onderdelen van elke wachtwoordbeheerder – blootlegde, samen met andere gebruikersgegevens (cf. https://www.wired.com/story/lastpass-breach-vaults-password-managers/).
De hacker kreeg toegang tot een back-up van de vaultgegevens van klanten, waarin zowel onversleutelde gegevens als URL's staan en versleutelde gebruikersnamen, wachtwoorden, notities en form-filled data. Deze versleutelde gegevens kunnen volgens «LastPass» alleen met het masterpassword worden ontsleuteld. Dit wachtwoord slaat LastPass niet op.
Dat masterpassword kan wel met bruteforcetechnieken achterhaald worden en de versleutelde gegevens zouden zo toch gelezen kunnen worden, erkent LastPass. Het bedrijf zegt dat als gebruikers de aanbevelingen van LastPass hebben gevolgd, zoals een master wachtwoord van twaalf tekens, dat het dan miljoenen jaren zou moeten duren voor het wachtwoord achterhaald wordt is «op basis van huidige gangbare bruteforce-technieken».
LastPass zegt meerdere stappen te hebben genomen om het risico op een vervolghack te verminderen, waaronder extra loggingmogelijkheden, nieuwe ontwikkelomgevingen en betere authentificatie van ontwikkelaaraccounts. Politiediensten en relevante toezichthouders zijn door LastPass ingeseind. Het bedrijf waarschuwt gebruikers ook voor phishingpogingen naar aanleiding van deze hack (cf. https://tweakers.net/nieuws/204814/lastpass-hackers-hebben-versleutelde-wachtwoorden-van-klanten-gestolen.html).
Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewest waarbij de rol van de Gewesten vooral ligt in het preventieve luik.
Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:
1) Zijn er gegevens beschikbaar van Belgische klanten die getroffen werden door deze hack? Zo ja, hoeveel? Zijn er klachten of processen-verbaal opgesteld over identiteitsfraude of aanverwante zaken die te maken hebben met de hack van deze service?
2) Hebben de veiligheidsdiensten aangegeven dat deze hack voor een verhoogd veiligheidsrisico zorgt voor onze diensten of infrastructuur? Zo ja, welke, hoeveel signalen, vanuit welke dienst waren ze precies afkomstig en wat werd met deze informatie gedaan?
3) Kan u meedelen of onze overheids- en veiligheidsdiensten gebruik maken van deze service om paswoorden op te slaan? Zo ja, welke diensten? En welke maatregelen werden getroffen na de melding dat gegevens en paswoorden gelekt waren?
4) Kan u meedelen of gevoelige sectoren (energievoorziening, ziekenhuizen, openbaar vervoer, enz.) gebruik maken van deze service om paswoorden op te slaan? Zo ja, welke diensten? En welke maatregelen werden getroffen na de melding dat gegevens en paswoorden gelekt waren? Welke risico's bestaan er volgens u sinds het lekken van de gegevens?
5) Wordt het gebruik van dergelijke paswoordkluizen aangemoedigd door overheids- of veiligheidsdiensten? Is het gebruik van dergelijke paswoordmanagers nog aan te raden, gelet op de huidige lekken? Zo neen, welke alternatieven worden er aangeraden? Zo ja, welke risico's zijn er dan?
1) De Algemene Nationale Gegevensbank (ANG) is een politiedatabank waarin feiten geregistreerd worden op basis van processen-verbaal die voortvloeien uit de missies van de gerechtelijke en bestuurlijke politie. Zij laat toe om tellingen uit te voeren op verschillende statistische variabelen, zoals het aantal geregistreerde feiten, de modus operandi, de voorwerpen gehanteerd bij het misdrijf, de gebruikte vervoermiddelen, de plaatsbestemming, enz.
Op basis van de informatie in de ANG kan er gerapporteerd worden over het aantal door de politie geregistreerde feiten inzake hacking. De informatie of er hierbij toegang werd gekregen via de paswoordkluis «Lastpass» is echter niet aanwezig in de politiedatabank. Gezien het specifieke karakter van de vragen is het bijgevolg niet mogelijk om op basis van de informatie beschikbaar in de ANG een gedetailleerd antwoord te geven.
2), 3), 4) & 5) Deze parlementaire vraag valt niet onder mijn bevoegdheden maar behoort tot die van de eerste minister, aan wie het Centre for Cyber Security Belgium (CCB) rapporteert.