histats

LastPass piraté, mais les mots de passe des utilisateurs n’ont pas été consultés

LastPass piraté, mais les mots de passe des utilisateurs n’ont pas été consultés

Un pirate informatique a infiltré le gestionnaire de mots de passe LastPass, mais l’enquête initiale de l’entreprise montre que la violation n’a capturé que les systèmes de développement de logiciels internes de l’entreprise, et non les données de mot de passe des clients.

Jeudi, LastPass a envoyé un e-mail aux clients concernant la violation, que la société a découverte il y a environ deux semaines.

“Nous avons déterminé qu’une partie non autorisée a eu accès à des parties de l’environnement de développement LastPass via un seul compte de développeur compromis et a pris des parties du code source et certaines informations techniques propriétaires de LastPass”, a déclaré la société.

“Nous n’avons aucune preuve que cet incident impliquait un accès aux données des clients ou à des coffres-forts de mots de passe cryptés”, ajoute le communiqué.

Message LastPass

(Crédit : LastPass)

En réponse, la société a mis en place des “mesures de confinement et d’atténuation” et a embauché une entreprise de cybersécurité de premier plan pour enquêter sur la violation. La société a également publié une FAQ(Ouvre dans une nouvelle fenêtre) qui note que tous les produits et services LastPass ont fonctionné normalement, malgré la violation.

LastPass n’a fourni aucun autre détail alors que le fournisseur commence son enquête. Mais une préoccupation majeure est de savoir si les données propriétaires volées ouvriront la voie aux cybercriminels pour découvrir les vulnérabilités des produits de gestion des mots de passe de l’entreprise.

Actuellement, la FAQ de la société indique que LastPass ne stocke pas d’informations sur le “mot de passe principal” utilisé par les clients pour accéder à leurs comptes via le service de gestion des mots de passe. Au lieu de cela, l’entreprise s’appuie sur un modèle de chiffrement “sans connaissance”(Ouvre dans une nouvelle fenêtre) pour déverrouiller l’accès au compte d’un utilisateur. Cela implique uniquement de stocker le mot de passe principal sur l’appareil du client.

“Pour le moment, nous ne recommandons aucune action de la part de nos utilisateurs ou administrateurs”, ajoute la FAQ de l’entreprise. Cependant, pour une protection supplémentaire, envisagez d’activer l’authentification multifacteur(Ouvre dans une nouvelle fenêtre) sur votre compte. LastPass prévoit d’informer les clients de l’enquête au fur et à mesure qu’elle se poursuit.

Neil J. Rubenking, analyste de sécurité principal de PCMag, a reçu l’e-mail de LastPass, mais dit qu’il n’est pas concerné. Même si les données disponibles avaient inclus des coffres-forts de mots de passe cryptés, “le voleur n’aurait aucun moyen d’entrer sans le mot de passe. Et LastPass (comme tous les gestionnaires de mots de passe) ne stocke jamais votre mot de passe, seulement un hachage du mot de passe”, a-t-il déclaré.

Aimez-vous ce que vous lisez?

S’inscrire SecurityWatch newsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.

Cette newsletter peut contenir des publicités, des offres ou des liens d’affiliation. L’inscription à une newsletter indique votre consentement à nos conditions d’utilisation et à notre politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *