Un piratage DoorDash a été confirmé par la société, avec les coordonnées complètes du client exposées par la faille de sécurité : nom, adresse et numéros de téléphone.
Par ailleurs, LastPass a également confirmé une attaque sur ses propres systèmes, mais dit qu’il ne croit pas que des données utilisateur aient été obtenues…
piratage DoorDash
DoorDash indique qu’une attaque de phishing « sophistiquée » a entraîné l’obtention de données utilisateur.
Nous avons récemment appris qu’un fournisseur tiers était la cible d’une campagne de phishing sophistiquée et que certaines informations personnelles conservées par DoorDash étaient affectées. […]
Pour les consommateurs, les informations consultées par la partie non autorisée comprenaient principalement le nom, l’adresse e-mail, l’adresse de livraison et le numéro de téléphone.
Pour un plus petit groupe de consommateurs, les informations de base sur les commandes et les informations partielles sur la carte de paiement (c’est-à-dire le type de carte et les quatre derniers chiffres du numéro de carte) ont également été consultées.
Pour les Dashers, les informations consultées par la partie non autorisée comprenaient principalement le nom et le numéro de téléphone ou l’adresse e-mail. Les informations affectées pour chaque personne concernée peuvent varier.
La société affirme que l’agresseur a fait ne pas accéder aux détails complets de la carte, aux détails du compte bancaire, aux numéros de sécurité sociale, aux numéros d’assurance sociale ou aux mots de passe.
Le piratage de DoorDash impliquait l’utilisation d’informations d’identification de fournisseur volées pour accéder aux outils internes de DoorDash, ce qui a ensuite permis à l’attaquant d’accéder aux données des clients.
La société affirme avoir pris quatre mesures en réponse :
- Aviser les forces de l’ordre
- Notifier les utilisateurs concernés et les régulateurs de la protection des données
- Sécurité renforcée chez DoorDash et le fournisseur tiers
- A fait appel à une entreprise de cybersécurité pour aider à l’enquête
Vous trouverez de plus amples informations dans la FAQ (faites défiler vers le bas).
Attaque LastPass
Ordinateur qui bipe a découvert une attaque sans rapport avec la société de gestion de mots de passe LastPass, qui a depuis été confirmée par la société.
Dans ce cas, il semble que les attaquants cherchaient le code source de l’entreprise et d’autres informations exclusives, et non les données des clients.
Il y a deux semaines, nous avons détecté une activité inhabituelle dans certaines parties de l’environnement de développement LastPass. Après avoir lancé une enquête immédiate, nous n’avons vu aucune preuve que cet incident impliquait un accès aux données client ou à des coffres-forts de mots de passe cryptés.
Nous avons déterminé qu’une partie non autorisée a eu accès à des parties de l’environnement de développement LastPass via un seul compte de développeur compromis et a pris des parties du code source et certaines informations techniques propriétaires de LastPass.
La société a souligné qu’il n’y a aucun moyen pour un pirate d’obtenir les mots de passe maîtres des utilisateurs, car LastPass n’y a jamais accès.
Cet incident n’a pas compromis votre mot de passe principal. Nous ne stockons ni n’avons jamais connaissance de votre mot de passe principal. Nous utilisons une architecture Zero Knowledge standard de l’industrie qui garantit que LastPass ne peut jamais connaître ou accéder au mot de passe principal de nos clients. Vous pouvez en savoir plus sur la mise en œuvre technique de Zero Knowledge ici.
Les protocoles Zero Knowledge signifient que vous pouvez prouver à LastPass que vous connaissez votre mot de passe principal, sans que LastPass lui-même ne sache de quoi il s’agit. Un moyen facile de comprendre le principe sous-jacent est l’analogie de l’ami daltonien :
Un ami daltonien a deux balles, une rouge, une verte, qu’il ne peut pas distinguer, mais vous pouvez. Pour prouver que vous pouvez le faire, ils tiennent une balle dans chaque main, les placent derrière leur dos et échangent des balles entre les mains ou non, au hasard. Ils montrent à nouveau les balles et vous dites s’ils les ont échangées ou non. Répétez autant de fois que nécessaire pour éliminer efficacement les devinettes.
À la fin du processus, votre ami ne connaît toujours pas les couleurs des balles, mais s’est assuré que vous les connaissiez.
Prenez les précautions standard en matière de cybersécurité
Comme toujours, vous devez vous assurer de prendre les précautions de cybersécurité standard, notamment : des mots de passe forts et uniques pour chaque site Web et application ; réponses déguisées aux questions de sécurité ; utilisation de l’authentification à deux facteurs ; ne jamais cliquer sur des liens envoyés par e-mail vers des services sensibles tels que des banques, des services financiers et tout ce qui nécessite votre identifiant Apple. L’utilisation d’un service VPN est recommandée lors de l’utilisation de points d’accès Wi-Fi publics.
Photo : Lewis Kang’ethe Ngugi/Unsplash
Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :
