Begin januari kreeg de Nederlandse hacker Rickey Gevers een mailtje van iemand die overstuur was, laten we hem Leo noemen. Met zijn bedrijf Responders staat Gevers mensen bij die slachtoffer zijn van een digitale misdaad.

Leo was miljoenen euro’s aan bitcoin kwijt. Gevers kreeg Leo’s laptop om te onderzoeken wat er was gebeurd. Waar bewaarde hij zijn bitcoin-wallet? Hoe sterk waren de wachtwoorden die hij voor zijn crypto-platforms gebruikte? Had hij ze ergens op zijn computer opgeslagen?

Nee. Niemand wist de geheime code van Leo’s bitcoin-wallet. En de wachtwoorden waren niet te onthouden. Leo gebruikte LastPass, een wachtwoordmanager: een handig tooltje voor het probleem dat iedereen tientallen wachtwoorden moet onthouden. Zowel de Consumentenbond als het Nationaal Cyber Security Center (NCSC) bevelen LastPass aan: stop daar je wachtwoorden in een digitaal kluisje, zodat je nog maar één wachtwoord hoeft te onthouden – je master password. 

En Leo’s LastPass-wachtwoord was ijzersterk. Hij had het pas nog veranderd, omdat hij had gehoord dat er een hack was geweest bij LastPass. Het kon niet anders of een familielid, dat toegang had tot zijn computer, was de schuldige. 

Maar Gevers vermoedde dat die hack bij LastPass er toch iets mee te maken had. Hij zocht de berichten op die LastPass over de hack had gepubliceerd.

Ook in het derde bericht verzekerde LastPass zijn klanten dat er geen reden tot bezorgdheid was

Het eerste bericht verscheen in augustus 2022. Ceo Karim Toubba meldde dat een hacker via het account van een werknemer toegang had gekregen tot de ontwikkelomgeving van het bedrijf. De hacker had daar rondgeneusd. Vervelend, maar niet zo ernstig, zei LastPass: de activiteit van de hacker was ‘beperkt’ en klanten van LastPass hoefden geen actie te ondernemen. 

Half september kwam een tweede bericht. Uit intern onderzoek bleek dat de aanvaller vier dagen was binnen geweest, maar had niets ernstigs gedaan.

Eind november verscheen het derde bericht: de aanval was toch iets serieuzer geweest. De aanvaller had toegang verkregen tot ‘bepaalde elementen van klantinformatie’. Opnieuw verzekerde LastPass zijn klanten dat er geen reden tot bezorgdheid was.

Op 22 december 2022 publiceerde LastPass voor de vierde keer over de kraak. De aanvaller had naast wachtwoordkluizen ook bedrijfsnamen, gebruikersnamen, factuuradressen, e-mailadressen, telefoonnummers en IP-adressen gekopieerd.

Nog steeds was er volgens LastPass geen reden tot grote zorg. De wachtwoorden waren veilig. Bij een goed master password kon een aanvaller de onderliggende wachtwoorden nooit vinden. De dief had weliswaar de voordeur van de bank gekraakt, maar alle kluisjes daarbinnen hadden een eigen slot. En een wachtwoord van twaalf tekens kraken zou volgens LastPass met ‘algemeen beschikbare technologie miljoenen jaren duren’.

‘Er lijkt te staan: alles is veilig, maak je geen zorgen,’ zegt Gevers. ‘Dat is ook wat ik geloofde, net als een heleboel andere mensen. Maar als je beter kijkt, staat er toch wel wat anders.’ Met het masterwachtwoord kon de dief alle onderliggende wachtwoorden ontsleutelen. Er was geen privé-sleutel nodig die je op je eigen laptop, tablet of telefoon bewaart.

Bovendien bleek je persoonlijke kluis – anders dan veel gebruikers dachten – geen volledig versleutelde map te zijn, maar een tekstdocument met een paar versleutelde velden. Het was goed mogelijk dat LastPass-gebruikers hun crypto-codes hierin bewaarden, denkend dat die dan achter slot en grendel zaten.

Drie maanden tijd

Anderen hadden al eerder door wat er aan de hand was. Bijvoorbeeld de chief information security officer (ciso) van een IT-bedrijf dat verantwoordelijk is voor de informatieveiligheid van een aantal Nederlandse bedrijven die kritieke infrastructuur beheren.

Toen deze ciso, die anoniem wil blijven, op vrijdag 23 december 2022 het nieuwste bericht van LastPass las, vloekte hij hartgrondig. Waarom stuurde LastPass dit bericht kort voor kerst? Waren ze bang dat dit groot nieuws zou worden? Waarom stond er niet in wanneer de database was gestolen, en wanneer LastPass dat had ontdekt? 

De ciso begreep meteen dat de geruststelling dat het ‘miljoenen jaren’ zou duren voordat een meesterwachtwoord kon worden gekraakt, vals was. De waarschuwing had moeten zijn: ‘Heb je een makkelijk te raden master password, verander dan meteen alle belangrijke wachtwoorden die je via LastPass gebruikt.’

Hij veronderstelde dat minstens een van de medewerkers van zijn bedrijf een makkelijk wachtwoord gebruikte. Dat zou rampzalige gevolgen kunnen hebben, niet alleen voor het bedrijf zelf, maar ook voor hun klanten, waaronder banken, pensioenfondsen en transportbedrijven. Want: ‘De beveiliging is zo sterk als de zwakste schakel.’

De ciso realiseerde zich dat dit het einde van het IT-bedrijf zou kunnen betekenen. Nog diezelfde dag riep hij zijn crisisteam bij elkaar. Ze besloten dat alle werknemers alle kritieke wachtwoorden moesten veranderen.

Op dat moment dacht de ciso nog dat de database kort voor kerst was gestolen.

Uit een mail die LastPass aan een systeembeheerder stuurde (en die Follow The Money heeft ingezien), blijkt dat database op 20 september 2022 is gekopieerd. Dit feit was nog niet publiekelijk gedeeld. ‘Een schande dat ze die datum niet meteen publiek hebben gemaakt,’ zegt de ciso. ‘Nu heeft de dief maanden de tijd gehad om te graven. Bovendien is weten wanneer de database is gelekt cruciaal om een adequate risico-inschatting te kunnen maken.’

‘Wie dit in handen heeft, weet dat dit hem veel geld kan opleveren,’ zegt de ciso, ‘Als ik een crimineel was, zou ik gerust een ton investeren, dat geld haal je er wel uit. Met een ton kun je veel computerkracht kopen.’ Daarnaast zit de backup vol informatie waarmee je interessante kluizen kunt selecteren en doelgerichte phishing-mailtjes kunt maken om gebruikers hun master wachtwoord te ontfutselen.

Bij Gevers meldden zich nog twee slachtoffers. Hij zette alles nog eens op een rijtje. Dat zijn eerste slachtoffer zijn LastPass-wachtwoord veranderd had, was nutteloos als de database al eerder was gestolen. Alles wees erop dat ze het slachtoffer waren van de LastPass-hack. En online vond hij vergelijkbare verhalen.

‘Het was op slag duidelijk dat er grote bezorgdheid over de gestolen database bestond’

Gevers zocht contact met LastPass om een aantal zaken te verifiëren; Lastpass reageerde niet. Dat stelde Gevers voor een dilemma. Zonder hun hulp had hij geen sluitend bewijs, maar hij wilde zijn vermoedens niet langer stilhouden. Op 18 januari hakte hij de knoop door. ‘This is going to be big. Very big,’ schreef hij op Twitter.

“Het was twee dagen lang een gekkenhuis,’ zegt Gevers. Hij werd platgebeld door informatiebeveiligers van allerlei bedrijven, die details wilden weten. Het was op slag duidelijk dat er grote bezorgdheid over de gestolen database bestond. En op het dark web werd van alle kanten naar de database gevraagd. ‘Sommigen beweren hem al te hebben,’ zegt Gevers. ‘Maar dat kan grootspraak zijn.’

Maar verder bleef het opmerkelijk stil.

Het NCSC zit ermee in zijn maag

‘Ik begrijp echt niet waarom het NCSC zo weinig van zich heeft laten horen,’ zegt de ciso. ‘Het is geen slagaderlijke bloeding, maar wel een chronische ziekte en als je niks doet, kun je daar ook dood aan gaan.’

Waarom heeft het NCSC, net als LastPass, na 22 december niets meer van zich laten horen? Het NCSC moet bedrijven toch waarschuwen over veiligheidsrisico's?

‘We maken altijd een afweging op basis van de beschikbare informatie,’ schrijft het NCSC aan Follow the Money, ‘uit open bronnen, van partners en uit eigen technisch onderzoek en de wijze waarop een betrokken organisatie of een leverancier zelf informeert over een kwetsbaarheid.’ Maar aan dat laatste mankeert het nogal. 

Uit een mail aan een bezorgde systeembeheerder, ingezien door Follow the Money, blijkt het NCSC met de zaak in zijn maag te zitten. Als het NCSC zou waarschuwen, dan vreest het de betrouwbaarheid van LastPass ‘openlijk in twijfel’ te trekken. ‘En dat is voor de overheid een zwaar middel.’

’Intussen rezen er meer vragen. Waarom meldt LastPass niets meer over de zaak? Waarom zegt het niet hoe oud de database was en wanneer LastPass ontdekte dat die was gestolen? Waarom werden de kluizen van Europese bedrijven bij die van Amerikaanse bedrijven bewaard?

Van wachtwoordbeheer naar surveillance

LastPass was voor veel mensen de eerste kennismaking met een wachtwoordmanager. Het werkte makkelijk en soepel, geknipt voor a-technische mensen, die liefst overal hetzelfde wachtwoord gebruiken. Het was glashelder dat LastPass het internet veiliger maakte.

Ook nadat LastPass in 2015 slachtoffer werd van een hack, bleven de meeste mensen in de informatiebeveiliging LastPass vertrouwen. De toenmalige ceo communiceerde open en eerlijk over de hack, en greep die aan om het product te verbeteren.

Later dat jaar werd LastPass voor 110 miljoen dollar gekocht door LogMeIn (tegenwoordig: GoTo), dat diensten levert om flexibel en op afstand in de cloud te kunnen werken. In 2019 werd LogMeIn zelf voor 4,3 miljard dollar opgekocht door investeringsmaatschappijen Elliott Management en Francisco Partners. 

Dat was reden tot zorg. Francisco Partners investeerde in spionagebedrijven, zoals het Canadese Sandvine, dat surveillance-technologie aan Belarus verkocht. Tussen 2014 en 2019 had Francisco Partners ook een meerderheidsaandeel in de Israëlische NSO Group, berucht als de maker van Pegasus: spyware die overheidsdiensten gebruiken om (onder meer) journalisten, onderzoekers en mensenrechtenorganisaties in de gaten te houden.

In november 2020 verwijderde Martin Shelton, hoofdonderzoeker van de Freedom of the Press Foundation, LastPass uit de lijst van wachtwoordmanagers die hij journalisten aanbeveelt. ‘Voornamelijk om ethische redenen,’ meldt hij Follow the Money.

Veiligheid versus marktaandeel

Bedrijven en particulieren regelen het onderhoud en de beveiliging van hun computers veelvuldig via gespecialiseerde software. Juist wie zelf minder verstand heeft van IT, gebruikt graag software van derden om veilige toegang te regelen, backups te maken of wachtwoorden te beheren. En gek genoeg is die software verrassend vaak onbetrouwbaar. 

Hoe kan dat? 

‘Er is altijd een afweging tussen gebruiksgemak en veiligheid,’ zegt Gevers. ‘Als je een simpele app hebt die voor veel mensen aantrekkelijk is, dan moet je een deel van de veiligheid opgeven, zo simpel is het. WIl je veel veiligheid, dan zal het gebruiksgemak afnemen, en dus het aantal mensen dat je dienst gebruikt. En vooral als er venture capital in het spel is, willen de bedrijven die zulke software maken, snel marktaandeel veroveren.’

‘Wie voorzichtig en netjes is, kan worden voorbij gestreefd door een concurrent die sneller is’

Zo was Lastpass extreem gebruiksvriendelijk. Je hoeft bijvoorbeeld niet op ieder device – naast je laptop ook op je telefoon of op je tablet – een extra sleutel te installeren, zoals bij 1Password wel moet.

‘Het is een perfide mechanisme,’ zegt Jaap-Henk Hoepman, directeur van het Privacy & Identity Lab van de Radboud Universiteit. ‘Je moet eerst zorgen dat je een flink marktaandeel verwerft, en daarna ga je kijken of je het allemaal goed kunt doen. Het lullige is dat als je voorzichtig en netjes bent, je voorbij gestreefd kunt worden door een concurrent die sneller is. En dan verlies je je marktaandeel.’ 

Dat geldt soms zelfs voor bedrijven wier core business veiligheid is. Neem Kaseya VSA, software die bedrijven helpt bij het IT-beheer bij andere bedrijven. Door Kaseya aan te vallen, kon je zodoende in een keer in het hart van miljoenen computers van duizenden bedrijven komen. In 2020 vond de Nederlander Wietse Boonstra liefst zeven ernstige kwetsbaarheden in Kaseya. Kort daarna misbruikte de Russische hackergroep Revil een van deze kwetsbaarheden en zette zo de grootste ransomwareaanval aller tijden op touw.

‘In plaats van een handvol diensten waar iedereen op terugvalt, zouden er honderden moeten zijn,’ zegt Hoepman. ‘Er zijn voorstellen voor wetgeving inzake digitale markten, zoals the Digital Markets Act, die vereisen dat dienstverleners interoperabel zijn. Dat zou in deze context betekenen dat het mechanisme achter het opslaan van de wachtwoorden gestandaardiseerd moet zijn, zodat je makkelijk van wachtwoordmanager kunt wisselen.’

Als je makkelijk van wachtwoordmanager kunt wisselen, zullen ze meer moeten concurreren en is de kans groter dat het voor de ontwikkelaar loont om secuur en degelijk te zijn. Ook de hack van LastPass laat zien dat veiligheid kan lonen: veel mensen stappen nu over naar degelijker alternatieven, zoals 1Password.

Verantwoordelijkheid afschuiven

Wat gebruikers vaak uit het oog verliezen, is dat hun data buitengewoon waardevol zijn. ‘If it’s free, you are the product’ is inmiddels een cliché, maar daarom niet minder waar. En een wachtwoordmanager is een prachtig instrument om gebruikers te profileren.

‘De informatie wie wanneer inlogt op welke website is geld waard,’ zegt Bart Jacobs, hoogleraar privacy en identiteit aan de Radboud Universiteit. Precies die informatie staat onversleuteld in de kluis van LastPass. Telkens als een klant via deze dienst een website bezoekt, wordt dat vastgelegd en bewaard. Jacobs: ‘Daarom gebruik ik geen wachtwoordmanager, ik vertrouw het niet. Het eerste wat ik zou doen als ik een inlichtingendienst was, is een wachtwoordmanager bouwen.’

LastPass lijkt inmiddels genegen te zijn om sommige gebruikers meer informatie te verschaffen over de hack. Maar die moeten dan wel eerst een geheimhoudingsverklaring tekenen, een non-disclosure agreement (NDA), getuige deze mail:

Intussen zijn sommige gebruikers van LastPass hun bitcoin kwijt. De eerste aanklacht tegen het bedrijf – opgezet als een groepsproces voor meerdere gedupeerden – ligt er al. 

‘Als je hun blogs goed leest, zie je dat ze bezig zijn de verantwoordelijkheid bij de gebruikers neer te leggen,’ zegt de ciso. ‘Hun redenering: “Okay, de deur van de bank is opengebroken, maar die van jouw kluisje niet. Als je 1234 als code had, ja, dan heb je het ook aan jezelf te danken.”’

Maar hoewel een sterk wachtwoord gebruikers van LastPass helpt om de schade van de hack te beperken, ontslaat dat het bedrijf niet van de verantwoordelijkheid om je gegevens zo veilig mogelijk te bewaren. 

‘Zijn er mensen die een slecht wachtwoord gebruiken”’ zegt de ciso. ‘Jazeker. Is LastPass niet goed met de backup omgegaan? Het antwoord daarop is ook “Jazeker.” En ze zijn niet eerlijk in hun verhaal. Er valt hen echt veel te verwijten.’

‘De strategie van LastPass lijkt te zijn om de affaire zo klein mogelijk te houden,’ zegt Gevers, ‘maar ze hebben daarmee hun lot in handen van de hacker gelegd. Als de hacker verder niets doet, kan het met een sisser aflopen. Misschien is hij blij met die paar miljoen aan bitcoin en stopt hij nu, maar als hij deze database verkoopt of hem online gooit, dan kan het heel snel gaan.’