Het LastPass-datalek van 2022 uitgelegd: wat er is gestolen, wat het betekent en hoe je overstapt
In augustus / november 2022 hebben aanvallers cloudback-ups van LastPass geëxfiltreerd, waaronder versleutelde gebruikerskluizen plus onversleutelde metadata. Hier is wat gedocumenteerd is en wat je nu moet doen als je nog een LastPass-account hebt.
Gedocumenteerde tijdlijn
Volgens de gepubliceerde incidentmeldingen van LastPass: in augustus 2022 compromitteerden aanvallers de machine van een LastPass-ontwikkelaar en kregen ze toegang tot broncode. In november 2022 gebruikten aanvallers inloggegevens uit het augustusincident om toegang te krijgen tot cloudback-ups in de cloudopslag van een derde partij van LastPass. Die back-ups bevatten versleutelde klantenkluizen plus onversleutelde metadata — kluis-URL's, e-mailadressen van accounts, factureringsgegevens. LastPass maakte de datadiefstal bekend op 22 december 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Wat de encryptie daadwerkelijk beschermt
LastPass-kluizen zijn versleuteld met AES-256, waarbij de sleutel via PBKDF2 uit het hoofdwachtwoord wordt afgeleid. De sterkte van de bescherming hangt af van (a) de entropie van het hoofdwachtwoord en (b) het aantal PBKDF2-iteraties. Het standaardaantal iteraties van PBKDF2 bij LastPass was 5.000 voor oude accounts, voordat het in 2018 werd verhoogd naar 100.100. Accounts die vóór 2018 zijn aangemaakt, hebben mogelijk nog een laag aantal iteraties, tenzij de gebruiker handmatig heeft geüpgraded — de incidentmeldingen van LastPass documenteren dit. Een zwak hoofdwachtwoord met een laag aantal iteraties is offline met brute kracht te kraken; een sterk hoofdwachtwoord met meer dan 100.100 iteraties is dat niet, met de huidige hardware.
Wat te doen als je een LastPass-account hebt of had
Stap 1: Exporteer je LastPass-kluis vanuit de webconsole (Instellingen → Geavanceerde opties → Exporteren). Stap 2: Importeer in Bitwarden of 1Password (beide hebben directe LastPass-importfuncties, gedocumenteerd op bitwarden.com/help/import-from-lastpass en 1password.com/help). Stap 3: Wijzig de wachtwoorden van elk account met hoge blootstellingskosten — financiële accounts, e-mail, primaire sociale media. Stap 4: Schakel 2FA in op elk account dat dit ondersteunt. Stap 5: Verwijder het LastPass-account via de webconsole. Was je hoofdwachtwoord sterk (meer dan 12 willekeurige tekens of een wachtwoordzin met meer dan 6 woorden), dan is de versleutelde kluis rekenkundig veilig; de rotatie is een voorzorgsmaatregel. Was je hoofdwachtwoord zwak, behandel de waardevolle accounts dan als gecompromitteerd.
Waarom het datalek de hele categorie wachtwoordmanagers trof, niet alleen LastPass
Het LastPass-datalek bracht beveiligingsonderzoekers ertoe om de architecturale keuzes binnen de hele categorie nauwkeuriger te bekijken. Twee specifieke inzichten: (1) De iteratieaantallen van de encryptie zijn niet allemaal gelijk — het verschil tussen 5.000 en 100.100 PBKDF2-iteraties is groot. Argon2id (de moderne KDF die Bitwarden en anderen gebruiken) is nogmaals aanzienlijk sterker. (2) De blootstelling van metadata (URL's van accounts, e-mailadressen) is een reële privacyschade, zelfs als de kluisinhoud versleuteld blijft, omdat de metadata een aanvaller helpen om doelwitten te prioriteren. Moderne geauditeerde managers beperken de metadata in de data-at-rest-laag.
Bronnen
Officiële incidentmeldingen van LastPass: blog.lastpass.com/posts/notice-of-recent-security-incident. LastPass-importfunctie van Bitwarden: bitwarden.com/help/import-from-lastpass. 1Password-hulp: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Alle URL's geraadpleegd op 2026-04-30.