Dans l'avis publié le 25 août, Karim Toubba, le PDG de LastPass a déclaré qu'un tiers non autorisé avait volé ' des portions de code source et certaines informations techniques propriétaires de LastPass .” Cependant, aucun mot de passe ou compte de client n'a été affecté.
La société de gestion de mots de passe a été piratée il y a quelques semaines dans l'une des plus grandes failles de sécurité de 2022. Des initiés ont révélé certains détails à plusieurs organes de presse indiquant que les employés se démenaient pour contenir l'attaque après la faille.
LastPass a été piraté il y a deux semaines ; Avis émis le 25 août
Un pirate informatique a infiltré LastPass, le gestionnaire de mots de passe appartenant à GoTo (anciennement LogMeIn, Inc) il y a deux semaines. L’enquête initiale de l’entreprise révèle que l’intrusion n’a pu s’emparer que des systèmes internes de l’entreprise pour le développement de logiciels.
Heureusement, aucune donnée concernant les mots de passe et les détails des clients n'a été affectée. Le jeudi 25 août 2022, LastPass a envoyé un e-mail aux clients concernant la violation.
' Nous avons déterminé qu'une partie non autorisée a eu accès à des parties de l'environnement de développement LastPass via un seul compte de développeur compromis et a pris des parties du code source et certaines informations techniques propriétaires de LastPass. ', indiquait l'e-mail.
' Nous n'avons aucune preuve que cet incident impliquait un accès aux données client ou à des coffres-forts de mots de passe cryptés ', a-t-il ajouté.
LastPass a utilisé des mesures de confinement et d'atténuation
En réponse à la violation de données, LastPass a déployé des 'mesures de confinement et d'atténuation'. De plus, ils ont également embauché une entreprise de cybersécurité de premier plan pour enquêter sur l'intrusion. La société a également publié un FAQ confirmant que tous les produits et services LastPass sont ininterrompus et fonctionnent normalement.
LastPass n'a partagé aucun autre détail car le gestionnaire de mots de passe lance une enquête médico-légale. Cependant, la principale préoccupation reste que les données propriétaires volées pourraient permettre aux cybercriminels de découvrir des vulnérabilités dans les opérations de l'entreprise.
Pour l'instant, la FAQ de la société indique que LastPass ne stocke pas d'informations sur le 'mot de passe principal' utilisé par les clients pour accéder à leurs comptes via les services de gestion des mots de passe.
Au lieu de cela, la société travaille avec un mécanisme de 'cryptage à connaissance zéro' pour déverrouiller l'accès au compte d'un utilisateur. Cela signifie que le mot de passe principal est uniquement stocké sur l'appareil du client et dans sa mémoire.
Comment se protéger de la violation de données LastPass ?
Étant donné que LastPass ne stocke le mot de passe principal nulle part et utilise le modèle 'zéro connaissance', il n'y a pas lieu de s'inquiéter si vous êtes un utilisateur de LastPass. Cependant, la société reste soucieuse d'empêcher toute future tentative de piratage ou compromis.
La FAQ du gestionnaire de mots de passe indique également : 'Pour le moment, nous ne recommandons aucune action de la part de nos utilisateurs ou administrateurs.' Si vous êtes toujours inquiet, vous pouvez mettre en œuvre certaines mesures générales comme changer votre mot de passe principal et ne pas le stocker sur votre appareil.
Vous devez également utiliser une combinaison solide d'alphabets et de chiffres pour créer votre mot de passe. N'utilisez pas de séries aléatoires comme 12345678 ou des mots généraux comme votre nom ou votre emplacement. L'utilisation d'un mot de passe difficile à déchiffrer en ligne est indispensable de nos jours.
Modifier votre mot de passe maître LastPass
Le mot de passe principal de votre compte LastPass est une clé tout-en-un qui déverrouille l'accès à tout ce qui se trouve dans votre compte, y compris tous les mots de passe du site, les notes sécurisées, les éléments de remplissage de formulaire, etc. Suivez ces étapes pour modifier votre mot de passe principal LastPass :
- Lancez un navigateur Web et visitez cette page .
- Connectez-vous maintenant avec votre adresse e-mail et votre mot de passe principal.
- Ensuite, choisissez Paramètres du compte dans la navigation de gauche.
- Dans l'onglet Général, cliquez sur 'Modifier le mot de passe principal'.
- Entrez maintenant votre mot de passe principal actuel.
- Ensuite, entrez un nouveau mot de passe principal et entrez un indice de mot de passe.
- Enfin, cliquez sur 'Enregistrer le mot de passe principal'.
Après avoir réinitialisé le mot de passe principal, écrivez-le sur une feuille de papier à l'aide d'un stylo à bille et conservez-le en lieu sûr. Ne le jetez pas dans un tiroir au hasard ou sous votre matelas. Faire une copie du papier est également recommandé.
LastPass a également subi un Credential Stuffing l'année dernière
LastPass a également subi une attaque de bourrage d'informations d'identification l'année dernière qui a entraîné l'accès des acteurs malveillants aux mots de passe principaux. La société a confirmé que des mots de passe principaux avaient été volés par des pirates. Les intrus ont également distribué le logiciel malveillant de vol de mot de passe RedLine sur les systèmes.
LastPass a publié la déclaration suivante en réponse à l'attaque, ' Nos premières découvertes nous ont amenés à croire que ces alertes ont été déclenchées en réponse à une tentative d'activité de 'credential stuffing', dans laquelle un acteur malveillant ou malveillant tente d'accéder aux comptes d'utilisateurs (dans ce cas, LastPass) en utilisant des adresses e-mail et des mots de passe obtenus auprès de tiers. violations de parties liées à d'autres services non affiliés .”
' Nous avons rapidement travaillé pour enquêter sur cette activité et, pour le moment, nous n'avons aucune indication que des comptes LastPass aient été compromis par un tiers non autorisé à la suite de ces tentatives de bourrage d'informations d'identification, et nous n'avons trouvé aucune indication que les informations d'identification LastPass de l'utilisateur aient été récoltées par des logiciels malveillants. , des extensions de navigateur malveillantes ou des campagnes d'hameçonnage .”
Avant cela, LastPass avait signalé une faille de sécurité dans son extension pour Google Chrome. Bien qu'il ne s'agisse pas exactement d'une violation, de nombreux internautes ont été inquiets à cause de la nouvelle.
Pour l'instant, la situation est sous le contrôle de l'entreprise. Nous vous tiendrons au courant des développements ultérieurs.