Accueil Tech today Les informations utilisateur de LastPass exposées lors d’une violation de données

Les informations utilisateur de LastPass exposées lors d’une violation de données

Par

décembre 1, 2022

Qu’est-ce qui vient juste de se passer? LastPass, le gestionnaire de mots de passe populaire qui compte plus de 33 millions de clients et 100 000 utilisateurs professionnels, a de nouveau été piraté. La société affirme que, contrairement à la dernière fois, les données des utilisateurs ont été exposées lors de ce dernier incident, mais la société souligne que les mots de passe n’ont pas été compromis.

Karim Toubba, PDG de LastPass écrit que LastPass a récemment détecté une activité inhabituelle au sein d’un service de stockage en nuage tiers que l’organisation et l’affilié GoTo partagent actuellement.

Il a été déterminé que les pirates ont pu accéder à « certains éléments » des données des clients. Cela a été réalisé à l’aide d’informations acquises lors du piratage de LastPass en août, lorsque des cybercriminels ont pris des parties du code source interne du site et des documents relatifs à des informations techniques confidentielles. Les pirates ont eu accès à cette occasion en utilisant un compte de développeur compromis et ont espionné les systèmes pendant quatre jours avant d’être découverts et démarrés.

Nous avons récemment détecté une activité inhabituelle au sein d’un service de stockage cloud tiers, qui est actuellement partagé par LastPass et son affilié GoTo. Les mots de passe des clients restent chiffrés en toute sécurité grâce à l’architecture Zero Knowledge de LastPass. Plus d’informations: https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK

— LastPass (@LastPass) 30 novembre 2022

Toute faille de sécurité sur un gestionnaire de mots de passe va évidemment soulever des inquiétudes concernant les mots de passe volés, mais LastPass souligne que ceux-ci restent sûrs grâce à son architecture Zero Knowledge, qui garantit que seul l’utilisateur connaît le mot de passe principal et que le cryptage ne se produit qu’au niveau de l’appareil. En tant que tel, LastPass ne recommande pas aux utilisateurs de modifier leurs mots de passe.

Toubba a déclaré que LastPass continue de travailler pour comprendre l’étendue de l’incident et identifier les informations spécifiques qui ont été consultées. Il a engagé la principale société de sécurité Mandiant et alerté les forces de l’ordre.

Bien qu’il soit extrêmement populaire et qu’il s’agisse d’un excellent logiciel, cela marque une autre occasion où les pratiques de sécurité de LastPass ont été remises en question. En 2019, la société a corrigé une faille de sécurité qui aurait pu permettre aux pirates de récupérer les informations de connexion des derniers utilisateurs du site visités. Il y avait aussi une vulnérabilité d’extension de navigateur en 2017.

En décembre, les utilisateurs de LastPass ont signalé que des personnes tentaient de se connecter à leurs comptes depuis des emplacements inconnus en utilisant leurs mots de passe principaux corrects. La société a affirmé que ceux-ci étaient probablement le résultat de clients réutilisant des mots de passe sur plusieurs sites.

Si vous êtes un utilisateur LastPass concerné par ces incidents, le téléchargement de l’application d’authentification pour aider à protéger votre compte en exigeant des codes d’authentification à deux facteurs lors de la connexion ajoute une couche de protection supplémentaire.