Crédit : Dreamstime
LastPass, créateur d’une application de gestion de mots de passe, a révélé qu’un une personne non autorisée a accédé à son environnement de développement via un compte de concepteur compromis et a pris du code source et des informations techniques exclusives.
Une enquête initiale sur l’incident n’a en fait révélé aucune preuve que les données des consommateurs ou les coffres-forts de mots de passe cryptés ont été consultés par l’intrus, le PDG Karim Toubba a déclaré dans un article d’entreprise.
Toubba a expliqué que les mots de passe principaux des utilisateurs de l’entreprise sont protégés par une architecture à connaissance zéro, ce qui empêche LastPass de connaître ou d’accéder à ces mots de passe.
« Nos services et produits fonctionnent normalement », comprend la porte-parole de LastPass, Nikolett Bacso Albaum. » Dans l’action [de l’événement], nous avons immédiatement lancé un examen, déployé des mesures de confinement et d’atténuation, et engagé une entreprise leader dans le domaine de la cybersécurité et de la criminalistique. «
» Bien que notre examen soit continu « , poursuit-elle, « Nous avons en fait atteint un état de confinement, exécuté des procédures de sécurité renforcées supplémentaires et ne voyons plus aucune preuve d’activité non autorisée. »
Les gestionnaires de mots de passe sont une cible attrayante
Bien que l’intention des personnes responsables de cet incident LastPass ne soit pas identifiée, les gestionnaires de mots de passe sont une cible difficile mais attrayante pour les acteurs de danger, observe Melissa Bischoping, experte en recherche sur la sécurité des terminaux chez Tanium, une entreprise de gestion et de sécurité des terminaux.
» Ils déverrouillent – littéralement – un trésor d’accès à des centaines de milliers de comptes et d’informations délicates sur les consommateurs en un instant, s’ils sont piratés « , dit-elle.
De même, la manière dont le compte développeur a été compromis est inconnue. Vraisemblablement, LastPass avait mis en place des contrôles d’authentification corrects, mais parfois « même des services d’authentification forts ne suffisent pas pour diverses raisons », déclare Rajiv Pimplaskar, PDG de Dispersive Holdings, un accès sécurisé au fournisseur de bord de service.
LastPass capable de faire des dégâts
Taylor Ellis, experte en menaces grand public chez Horizon3.ai, une entreprise de tests d’intrusion automatique en tant que service, applaudit LastPass pour la manière dont il a réellement géré L’incident.
« Chaque fois qu’une violation se produit, de nombreuses organisations arrêtent de travailler pour séparer l’événement rapidement, ou elles se battent pour savoir comment mener une enquête de sécurité appropriée », explique-t-elle. » En tant qu’entreprise de sécurité qualifiée, LastPass avait au moins l’avantage du groupe d’accueil en suivant les traitements appropriés, en séparant le problème à temps et en empêchant ses clients d’être affectés de manière significative par la violation. «
Toute l’actualité en temps réel, est sur L’Entrepreneur
