LastPass ontdekte in augustus dat broncode en technische informatie van zijn software was gestolen. De diefstal zou hebben plaatsgevonden bij een externe opslagdienst waarvan het bedrijf gebruikmaakte.

LastPass meldde in eerste instantie dat bij de aanval geen klantgegevens of wachtwoorden waren buitgemaakt. Vorige maand bleek al dat de hackers toch gebruikersnamen, adressen, e-mailadressen, telefoonnummers en IP-adressen hadden gestolen. Nu blijkt dat de hackers via een omweg ook toegang hebben gehad tot de wachtwoordkluizen.

Volgens LastPass hoeven getroffen gebruikers zich geen zorgen te maken over de wachtwoorden die zijn gestolen. Deze zijn namelijk versleuteld en kunnen volgens het bedrijf alleen worden ontsleuteld met een zogenoemd master password. Dit slaat LastPass niet op, maar bezitten gebruikers zelf.

De wachtwoordbeheerder erkent wel dat hackers de wachtwoorden zouden kunnen kraken via een zogenoemde brute force-aanval. Een hacker maakt dan gebruik van software die verschillende combinaties van inlognamen en wachtwoorden probeert.

Maar volgens LastPass zou het kraken van een master password dat volgens de richtlijnen van de wachtwoordbeheerder is vastgesteld en uit twaalf tekens bestaat miljoenen jaren duren. Mensen die een korter wachtwoord hebben of dat elders gebruiken, wordt aangeraden dat te wijzigen.

Hoeveel gebruikers zijn getroffen, is onduidelijk. Gebruikers die geen e-mail hebben gehad, hoeven zich volgens de wachtwoordbeheerder geen zorgen te maken.