Mise à jour de la faille de sécurité LastPass : les coffres-forts des mots de passe des clients ont été obtenus

Mise à jour de la faille de sécurité LastPass : les coffres-forts des mots de passe des clients ont été obtenus

LastPass est de retour aujourd’hui avec sa dernière déclaration sur les dégâts de sa faille de sécurité. Alors que la portée de l’attaque n’était pas claire début décembre, la société a maintenant partagé que des copies des coffres-forts de mots de passe des clients ont été obtenues avec des noms, des e-mails, des adresses de facturation, des numéros de téléphone, etc. Voici ce que vous devez savoir.

Le PDG de LastPass, Karim Toubba, a écrit la mise à jour aujourd’hui sur le blog de l’entreprise (repéré par TechCrunch).

Après avoir partagé le 30 novembre que ses systèmes avaient effectivement été compromis quelque temps après un incident d’août 2022, une image plus complète des dommages a maintenant été révélée.

Tout d’abord, LastPass indique que le pirate a accès aux informations client telles que les noms, adresses, e-mails, numéros de téléphone, etc.

« À ce jour, nous avons déterminé qu’une fois la clé d’accès au stockage en nuage et les clés de déchiffrement du conteneur de stockage double obtenues, l’auteur de la menace a copié les informations de la sauvegarde contenant les informations de base sur le compte client et les métadonnées associées, notamment les noms de l’entreprise, les noms des utilisateurs finaux et les adresses de facturation. , les adresses e-mail, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass. »

Plus inquiétant, les coffres-forts de mots de passe des clients ont également été copiés lors de l’incident :

« L’acteur de la menace a également pu copier une sauvegarde des données du coffre-fort client à partir du conteneur de stockage crypté qui est stocké dans un format binaire propriétaire contenant à la fois des données non cryptées, telles que les URL de sites Web, ainsi que des champs sensibles entièrement cryptés tels que le site Web. noms d’utilisateur et mots de passe, notes sécurisées et données remplies par formulaire. Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être décryptés qu’avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l’aide de notre architecture Zero Knowledge. Pour rappel, le mot de passe principal n’est jamais connu de LastPass et n’est ni stocké ni conservé par LastPass. Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local. Pour plus d’informations sur notre architecture Zero Knowledge et nos algorithmes de chiffrement, veuillez cliquer ici.“

Alors que les coffres-forts de mots de passe des utilisateurs sont toujours protégés par leurs mots de passe principaux, le pirate peut tenter des attaques par force brute, par hameçonnage ou par ingénierie sociale. Soyez donc prudent si vous avez été client LastPass.

LastPass indique que son enquête est toujours en cours et « s’engage à vous tenir informé de nos conclusions et à vous tenir au courant des actions que nous prenons et de toute action que vous devrez peut-être effectuer ».

Consultez la mise à jour de sécurité complète de LastPass, y compris des conseils sur ce que les clients doivent faire.


Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :