vendredi, 29 mars 2024

Le gestionnaire de mots de passe LastPass a été piraté. Voici ce que nous savons jusqu’à présent

  • Une célébration non approuvée avait en fait volé « des parties du code source et certaines informations techniques propriétaires de LastPass ».
  • La violation semble ont été des serveurs d’avancement, aidés par un compromis d’un compte de concepteur LastPass il y a 2 semaines.

Dans un avis publié l’autre jour, le PDG Karim Toubba a déclaré qu’une célébration non autorisée avait en fait pris « des parties du code source et certaines informations techniques propriétaires de LastPass ». Toubba a déclaré que l’entreprise avait détecté une activité inhabituelle dans certaines parties de l’environnement de développement de l’entreprise il y a 2 semaines. L’enquête ne révèle aucune preuve que l’incident impliquait un accès aux données des clients ou à des coffres-forts de mots de passe cryptés.

Nous avons récemment découvert une activité inhabituelle dans certaines parties de l’environnement de développement LastPass et avons lancé un examen et publié des étapes de confinement. Nous n’avons aucune preuve que cela impliquait un accès aux données des consommateurs. Plus de détails : https://t.co/cV8atRsv6d pic..com/HtPLvK0uEC

— LastPass (@LastPass) 25 août 2022

En termes simples, aucun mot de passe n’a été compromis. Au lieu de cela, une célébration non autorisée a eu accès à des parties de l’environnement de développement de l’entreprise via un seul compte de concepteur compromis et a pris des parties du code source et certaines informations techniques propriétaires de LastPass. « Nos produits et services fonctionnent généralement », a précisé Toubba.

Pour le contexte, LastPass propose un coffre-fort d’applications logicielles qui stocke vos paires de nom d’utilisateur et de mot de passe pour vous connecter aux sites Web. Les utilisateurs peuvent développer des mots de passe uniques et difficiles à déchiffrer pour chaque compte de site Web et les enregistrer dans leur coffre-fort. Une phrase de passe principale est nécessaire pour déverrouiller et utiliser ces qualifications. Tout ce qu’un utilisateur a à faire est de développer et de mémoriser cette expression secrète.

Dans la zone FAQ de l’entreprise, il est indiqué que LastPass ne stocke jamais ou n’a jamais connaissance du mot de passe principal d’un utilisateur. La société utilise en fait une architecture de compréhension zéro standard du marché qui garantit que LastPass ne peut jamais connaître ou accéder au mot de passe principal de ses clients. Cela dit, en réponse à l’incident, LastPass a déployé des mesures de confinement et d’atténuation, et engagé une entreprise leader dans le domaine de la cybersécurité et de la criminalistique.

Le problème de l’interface utilisateur biologique résolu par une offre LastPass actualisée

De base, l’architecture à connaissance zéro utilisée par les meilleurs superviseurs de mots de passe sécurise les mots de passe avant qu’ils ne quittent votre gadget. Lorsqu’ils sont sur un serveur, même le fournisseur de services n’a pas d’autre moyen de les comprendre. Certains superviseurs de mots de passe vous rappelleront de modifier régulièrement les mots de passe et d’évaluer leur force. D’autres analyseront le dark web pour vérifier si l’un de vos identifiants est apparu en ligne.

« Pendant que notre examen est en cours, nous avons en fait atteint un état de confinement, pris des mesures de sécurité améliorées supplémentaires et ne voyons aucun une preuve supplémentaire d’activité non autorisée », a déclaré le PDG. Bien que la transparence dont LastPass a fait preuve en réaction à cet incident soit admirable, ce n’est pas la première fois que les utilisateurs du superviseur de mot de passe doivent faire face à des nouvelles d’une violation.

En juin 2015 , l’entreprise a vérifié que des pirates avaient accédé au réseau. À ce moment-là, contrairement à maintenant, les utilisateurs étaient amenés à modifier les mots de passe principaux lors de la connexion. En 2017, il y avait une grave faille de fuite de mot de passe dans son code. Puis en 2019, il a réparé un bogue que les sites Web pouvaient utiliser pour prendre des mots de passe pour des comptes sur d’autres sites Web.

Même en 2015, LastPass a subi une attaque d’empaquetage d’informations d’identification qui permettait aux vedettes de la menace de vérifier le mot de passe principal d’un utilisateur. . Cette violation a vu les mots de passe maîtres LastPass volés par des acteurs dangereux distribuant le logiciel malveillant de vol de mot de passe RedLine.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici