Default
Door Remote - 23 Jun 2026
Wachtwoordmanager-maker LastPass informeert klanten dat hun persoonlijke gegevens en klantondersteuningsdossiers zijn gestolen tijdens een recente hack bij een van zijn technologiepartners, wat het laatste datalek van het bedrijf in de afgelopen jaren markeert.
In een e-mail die een getroffen klant met TechCrunch heeft gedeeld, zegt LastPass dat de inbreuk plaatsvond bij marktonderzoeksbureau Klue, en niet bij zijn eigen systemen. Hackers misbruikten echter hun toegang om enorme hoeveelheden gegevens over LastPass-klanten te verkrijgen.
LastPass is de nieuwste in een groeiende lijst van cyberbeveiligingsbedrijven die gegevensdiefstallen hebben gemeld als gevolg van de inbreuk bij Klue, die het bedrijf vorige week bekendmaakte. Verschillende andere getroffen bedrijven zijn HackerOne, Recorded Future en Tanium.
In een blogpost waarin informatie over het incident werd gedeeld, zei LastPass dat de hackers de namen, telefoonnummers, e-mailadressen en fysieke adressen van klanten hadden gestolen, evenals gegevens over klantenondersteuning en verkoopgerelateerde gegevens.
LastPass zei dat de eigen infrastructuur van het bedrijf onaangetast bleef, inclusief de wachtwoordkluizen van klanten.
Het is nog niet bekend wat er in de inhoud van de klantenondersteuningstickets stond, hoewel deze waarschijnlijk fragmenten van mogelijk privé- of gevoelige informatie bevatten. Klanten nemen doorgaans contact op met de klantenservice als ze een factureringsprobleem hebben of hulp nodig hebben bij het verkrijgen van toegang tot hun accounts. Bij eerdere incidenten waarbij klantenondersteuningstickets betrokken waren, waren onder meer inloggegevens en door de overheid uitgegeven identiteitsbewijzen inbegrepen.
Woordvoerders van LastPass reageerden niet onmiddellijk op het verzoek van TechCrunch om commentaar, of op vragen over het incident, inclusief hoeveel klanten door het incident werden getroffen.
Volgens de website heeft LastPass in 2024 meer dan 33 miljoen gebruikers en ongeveer 1,6 miljoen betalende klanten.
LastPass heeft in 2022 eerder te maken gehad met een datalek, waarbij hackers de volledige winkel met wachtwoordkluizen van klanten hebben gestolen, die worden gebruikt om hun gevoelige inloggegevens op te slaan, zoals wachtwoorden, tokens en andere persoonlijke en creditcardnummers.
Hoewel de kluizen waren gecodeerd met hoofdwachtwoorden die alleen bij de klant bekend waren, stelde de inbreuk hackers in staat de kluizen met bruut geweld offline te kraken met de zwakste hoofdwachtwoorden, en vervolgens toegang te krijgen tot de geheimen erin. Verschillende crypto-diefstallen werden later in verband gebracht met de LastPass-inbreuk, nadat hackers ervan werden verdacht de portemonneesleutels van het slachtoffer te stelen door hun wachtwoordkluis te kraken.
Jason Smith, CEO van Klue, zei in een blogpost dat het bedrijf op 12 juni hackers in zijn systemen heeft geïdentificeerd. Een hack- en afpersingsgroep genaamd Icarus eiste de eer op voor de inbreuk en heeft publiekelijk gedreigd de gestolen gegevens vrij te geven als er geen losgeld wordt betaald.
Smith heeft niet gereageerd op de e-mails van TechCrunch over het incident, inclusief hoeveel klanten getroffen zijn of of het bedrijf in contact is geweest met de hackers.
Weet jij meer over de Klue-cyberaanval? Bent u een bedrijf dat getroffen is door de inbreuk? Wij horen graag van u. Om veilig contact op te nemen met Zack Whittaker, kunt u contact opnemen via Signal-gebruikersnaam zackwhittaker.1337 of per e-mail: zack.whittaker@techcrunch.com.
In een e-mail die een getroffen klant met TechCrunch heeft gedeeld, zegt LastPass dat de inbreuk plaatsvond bij marktonderzoeksbureau Klue, en niet bij zijn eigen systemen. Hackers misbruikten echter hun toegang om enorme hoeveelheden gegevens over LastPass-klanten te verkrijgen.
LastPass is de nieuwste in een groeiende lijst van cyberbeveiligingsbedrijven die gegevensdiefstallen hebben gemeld als gevolg van de inbreuk bij Klue, die het bedrijf vorige week bekendmaakte. Verschillende andere getroffen bedrijven zijn HackerOne, Recorded Future en Tanium.
In een blogpost waarin informatie over het incident werd gedeeld, zei LastPass dat de hackers de namen, telefoonnummers, e-mailadressen en fysieke adressen van klanten hadden gestolen, evenals gegevens over klantenondersteuning en verkoopgerelateerde gegevens.
LastPass zei dat de eigen infrastructuur van het bedrijf onaangetast bleef, inclusief de wachtwoordkluizen van klanten.
Het is nog niet bekend wat er in de inhoud van de klantenondersteuningstickets stond, hoewel deze waarschijnlijk fragmenten van mogelijk privé- of gevoelige informatie bevatten. Klanten nemen doorgaans contact op met de klantenservice als ze een factureringsprobleem hebben of hulp nodig hebben bij het verkrijgen van toegang tot hun accounts. Bij eerdere incidenten waarbij klantenondersteuningstickets betrokken waren, waren onder meer inloggegevens en door de overheid uitgegeven identiteitsbewijzen inbegrepen.
Woordvoerders van LastPass reageerden niet onmiddellijk op het verzoek van TechCrunch om commentaar, of op vragen over het incident, inclusief hoeveel klanten door het incident werden getroffen.
Volgens de website heeft LastPass in 2024 meer dan 33 miljoen gebruikers en ongeveer 1,6 miljoen betalende klanten.
LastPass heeft in 2022 eerder te maken gehad met een datalek, waarbij hackers de volledige winkel met wachtwoordkluizen van klanten hebben gestolen, die worden gebruikt om hun gevoelige inloggegevens op te slaan, zoals wachtwoorden, tokens en andere persoonlijke en creditcardnummers.
Hoewel de kluizen waren gecodeerd met hoofdwachtwoorden die alleen bij de klant bekend waren, stelde de inbreuk hackers in staat de kluizen met bruut geweld offline te kraken met de zwakste hoofdwachtwoorden, en vervolgens toegang te krijgen tot de geheimen erin. Verschillende crypto-diefstallen werden later in verband gebracht met de LastPass-inbreuk, nadat hackers ervan werden verdacht de portemonneesleutels van het slachtoffer te stelen door hun wachtwoordkluis te kraken.
Jason Smith, CEO van Klue, zei in een blogpost dat het bedrijf op 12 juni hackers in zijn systemen heeft geïdentificeerd. Een hack- en afpersingsgroep genaamd Icarus eiste de eer op voor de inbreuk en heeft publiekelijk gedreigd de gestolen gegevens vrij te geven als er geen losgeld wordt betaald.
Smith heeft niet gereageerd op de e-mails van TechCrunch over het incident, inclusief hoeveel klanten getroffen zijn of of het bedrijf in contact is geweest met de hackers.
Weet jij meer over de Klue-cyberaanval? Bent u een bedrijf dat getroffen is door de inbreuk? Wij horen graag van u. Om veilig contact op te nemen met Zack Whittaker, kunt u contact opnemen via Signal-gebruikersnaam zackwhittaker.1337 of per e-mail: zack.whittaker@techcrunch.com.