Lastpass - Hacking - Paswoorden - Privacy - Beveiliging
computerpiraterij
informatiebeveiliging
beveiliging van kritieke infrastructuur
persoonlijke gegevens
eerbiediging van het privé-leven
identiteitsdiefstal
7/3/2023 | Verzending vraag (Einde van de antwoordtermijn: 6/4/2023) |
5/4/2023 | Antwoord |
Ook gesteld aan : schriftelijke vraag 7-1932
Ook gesteld aan : schriftelijke vraag 7-1933
Voor de 25,6 miljoen gebruikers van de beveiligingsdienst LastPass deed het bedrijf op 22 december 2022 een zorgwekkende mededeling: een beveiligingsincident dat het bedrijf eerder (op 30 november 2022) had gemeld, was in werkelijkheid een grootschalig en verontrustend datalek dat gecodeerde wachtwoordkluizen – de belangrijkste onderdelen van elke wachtwoordbeheerder – blootlegde, samen met andere gebruikersgegevens (cf. https://www.wired.com/story/lastpass-breach-vaults-password-managers/).
De hacker kreeg toegang tot een back-up van de vaultgegevens van klanten, waarin zowel onversleutelde gegevens als URL's staan en versleutelde gebruikersnamen, wachtwoorden, notities en form-filled data. Deze versleutelde gegevens kunnen volgens «LastPass» alleen met het masterpassword worden ontsleuteld. Dit wachtwoord slaat LastPass niet op.
Dat masterpassword kan wel met bruteforcetechnieken achterhaald worden en de versleutelde gegevens zouden zo toch gelezen kunnen worden, erkent LastPass. Het bedrijf zegt dat als gebruikers de aanbevelingen van LastPass hebben gevolgd, zoals een master wachtwoord van twaalf tekens, dat het dan miljoenen jaren zou moeten duren voor het wachtwoord achterhaald wordt is «op basis van huidige gangbare bruteforce-technieken».
LastPass zegt meerdere stappen te hebben genomen om het risico op een vervolghack te verminderen, waaronder extra loggingmogelijkheden, nieuwe ontwikkelomgevingen en betere authentificatie van ontwikkelaaraccounts. Politiediensten en relevante toezichthouders zijn door LastPass ingeseind. Het bedrijf waarschuwt gebruikers ook voor phishingpogingen naar aanleiding van deze hack (cf. https://tweakers.net/nieuws/204814/lastpass-hackers-hebben-versleutelde-wachtwoorden-van-klanten-gestolen.html).
Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewest waarbij de rol van de Gewesten vooral ligt in het preventieve luik.
Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:
1) Zijn er gegevens beschikbaar van Belgische klanten die getroffen werden door deze hack? Zo ja, hoeveel? Zijn er klachten of processen-verbaal opgesteld over identiteitsfraude of aanverwante zaken die te maken hebben met de hack van deze service?
2) Hebben de veiligheidsdiensten aangegeven dat deze hack voor een verhoogd veiligheidsrisico zorgt voor onze diensten of infrastructuur? Zo ja, welke, hoeveel signalen, vanuit welke dienst waren ze precies afkomstig en wat werd met deze informatie gedaan?
3) Kan u meedelen of onze overheids- en veiligheidsdiensten gebruik maken van deze service om paswoorden op te slaan? Zo ja, welke diensten? En welke maatregelen werden getroffen na de melding dat gegevens en paswoorden gelekt waren?
4) Kan u meedelen of gevoelige sectoren (energievoorziening, ziekenhuizen, openbaar vervoer, enz.) gebruik maken van deze service om paswoorden op te slaan? Zo ja, welke diensten? En welke maatregelen werden getroffen na de melding dat gegevens en paswoorden gelekt waren? Welke risico's bestaan er volgens u sinds het lekken van de gegevens?
5) Wordt het gebruik van dergelijke paswoordkluizen aangemoedigd door overheids- of veiligheidsdiensten? Is het gebruik van dergelijke paswoordmanagers nog aan te raden, gelet op de huidige lekken? Zo neen, welke alternatieven worden er aangeraden? Zo ja, welke risico's zijn er dan?
1) Het Centre for cyber security Belgium (CCB) laat weten hierover geen informatie te hebben ontvangen. Voor klachten of opgemaakte processen-verbaal over identiteitsdiefstal of aanverwante zaken verwijst het CCB naar de politie en parket.
Een lek van persoonsgegevens moet in principe bij de Gegevensbeschermingsautoriteit (GBA) gemeld worden. Algemene informatie over deze meldingsprocedure is op de GBA-website terug te vinden: https://www.gegevensbeschermingsautoriteit.be/professioneel/acties/datalek-van-persoonsgegevens.
De GBA had tegen 17 maart 2023 drie meldingen van gegevenslekken ontvangen van verwerkingsverantwoordelijken (zie vragen 3) en 4)) waarvoor Lastpass optreedt als verwerker.
Lastpass zelf is gevestigd in Ierland, dus dit bedrijf dient (conform het in de algemene verordening gegevensbescherming (AVG) voorziene één-loket-mechanisme) het gegevenslek bij de Ierse toezichthouder te melden.
2) Ik verwijs naar de Veiligheid van de Staat (VSSE).
3) Een inventarisatie van de soorten wachtwoordkluizen die door overheidsdiensten worden gebruikt ontbreekt. Elke overheidsdienst is verantwoordelijk voor de eigen inventarisatie dus ik kan u niet op deze vraag antwoorden met volledige cijfers. Desalniettemin deelt de GBA mij dat één van de drie meldingen bij de GBA werd ingediend door een gemeente.
4) Het CCB laat mij weten niet over de gegevens te beschikken om een correct antwoord op deze vraag te geven. De GBA deelt mij mee dat twee van de drie meldingen bij de GBA privébedrijven betreffen die niet actief zijn in de sectoren die hier worden geciteerd.
5) Paswoordkluizen of paswoordmanagers hebben voor- en nadelen. Dit blijkt nu ook zeer duidelijk uit het security incident bij LastPass. Toch dienen we er onzes inziens voor te hoeden om nu, naar aanleiding van dit incident, het zogenaamde kind met het badwater weg te gooien. Paswoordkluizen zijn en blijven, tot nader order, te beschouwen als een zogenaamde «best practice» of goede praktijk inzake het beheer van wachtwoorden. Immers: de paswoorden in een dergelijke kluis zijn van een hoog beveiligingsniveau, er is een synchronisatiemechanisme tussen verschillende devices van de gebruiker, ze zijn relatief gebruiksvriendelijk, enz. Het CCB beveelt het gebruik aan van online wachtwoordkluizen om verschillende wachtwoorden te beheren in combinatie met twee-factor verificatie. Wachtwoordkluizen creëren ook sterke wachtwoorden voor alle accounts die eraan gekoppeld zijn. Voor het CCB worden wachtwoordkluizen beschouwd als een veilige manier om een groot aantal verschillende en complexe wachtwoorden te genereren en op te slaan.