En bref: Le gestionnaire de mots de passe LastPass a révélé les détails d’une violation l’année dernière qui a entraîné le vol de données de connexion utilisateur partiellement cryptées. La société a confirmé que l’incident découlait d’un précédent piratage en août qui avait permis au pirate de voler les informations d’identification de l’ordinateur personnel d’un ingénieur DevOps et d’obtenir un coffre-fort déchiffré.
En décembre, LastPass a déclaré avoir détecté une activité inhabituelle dans un service de stockage en nuage AWS que l’organisation et GoTo, la société anciennement connue sous le nom de LogMeIn qui a acquis LastPass en 2021, partagent. Il a été déterminé que le pirate a pu accéder à « certains éléments » des données des clients. Ceci a été réalisé en utilisant les informations acquises lors du précédent hack sur LastPass en août.
Nous avons récemment détecté une activité inhabituelle au sein d’un service de stockage cloud tiers, qui est actuellement partagé par LastPass et son affilié GoTo. Les mots de passe des clients restent chiffrés en toute sécurité grâce à l’architecture Zero Knowledge de LastPass. Plus d’informations: https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK
— LastPass (@LastPass) 30 novembre 2022
LastPass en a révélé plus détails du deuxième incident d’hier. Il écrit que bien que la violation initiale ait pris fin le 12 août, le pirate « a été activement engagé dans une nouvelle série d’activités de reconnaissance, d’énumération et d’exfiltration » du 12 au 26 août. L’acteur de la menace a pu voler les informations d’identification d’un DevOps senior. pendant cette période et accéder au stockage cloud partagé de l’entreprise, qui contenait les clés de chiffrement pour les sauvegardes de coffre-fort client stockées dans des compartiments Amazon S3.
Une partie de l’attaque impliquait l’ordinateur personnel de l’ingénieur, l’un des quatre seuls ayant accès aux clés de déchiffrement, infecté par un enregistreur de frappe. Ceci a été réalisé en exploitant une vulnérabilité d’exécution de code à distance dans un progiciel multimédia tiers. Ars Technica écrit que le logiciel en question était le service de streaming multimédia/lecteur multimédia Plex.
« L’acteur de la menace a pu capturer le mot de passe principal de l’employé tel qu’il a été saisi, après que l’employé s’est authentifié avec MFA, et accéder au coffre-fort d’entreprise LastPass de l’ingénieur DevOps », écrit LastPass.
Aw merde, je suis pwned dans un @plex violation de données. Encore. Je ne peux rien faire pour * ne pas * être dans une infraction comme celle-ci (à moins de ne pas utiliser le service), mais un @1Mot de passe mot de passe aléatoire généré et 2FA activé en font un simple inconvénient plutôt qu’un véritable risque. pic.twitter.com/XetB3IGUh3
– Troy Hunt (@troyhunt) 24 août 2022
En août, 12 jours seulement après le début du deuxième incident LastPass, Plex a annoncé la découverte d’une activité suspecte dans l’une de ses bases de données et a constaté qu’un tiers avait accédé à un sous-ensemble de données comprenant des e-mails, des noms d’utilisateur et des mots de passe cryptés. On ne sait pas si cela était lié à la violation de LastPass.
LastPass a révélé un liste détaillée de tout ce qui a été consulté pendant les brèches. Si vous êtes un utilisateur, il serait judicieux de modifier le mot de passe principal et tous les mots de passe de votre coffre-fort.