Le populaire gestionnaire de mots de passe LastPass semble être victime d’une attaque de « credential stuffing » qui pourrait compromettre les mots de passe de ses utilisateurs.
LastPass, l’un des gestionnaires de mots de passe les plus populaires et les plus utilisés, semble être victime d’une attaque ciblée, par laquelle il est destiné à accéder aux clés enregistrées par les utilisateurs, via des tentatives de connexion effectuées à l’aide des clés divulguées dans les précédentes failles de sécurité subies. par d’autres services.
Un nombre important d’utilisateurs ont signalé avoir reçu des notifications de tentatives de connexion à LastPass, dans certains cas effectuées peu de temps après avoir modifié le « mot de passe principal » utilisé pour accéder au coffre-fort de clés LastPass.
LastPass, l’un des gestionnaires de mots de passe les plus populaires du moment.
LastPass s’assure que le service n’a pas subi de piratage
Après le déluge d’avis d’utilisateurs, LastPass s’est prononcé sur l’affaire, assurant qu’une enquête a commencé depuis que les premiers utilisateurs du service ont signalé la situation.
Sur la base de leurs enquêtes, ils pensent qu’il s’agit d’une attaque de « bourrage d’informations d’identification », utilisant des adresses e-mail et des mots de passe utilisateur obtenus à partir de failles de sécurité subies par des services non affiliés à LastPass.
Par conséquent, la menace est plus grande pour ceux dont le mot de passe principal a été utilisé dans les comptes d’autres services et plateformes, surtout si le même mot de passe est utilisé depuis longtemps et qu’il n’a pas été modifié ces derniers mois. Que ce soit ou non votre cas, changer votre mot de passe principal LastPass dès maintenant pourrait être une bonne idée.
En outre, ils soulignent qu’aujourd’hui, ils n’ont aucune indication que LastPass a été piraté par un type de malware ou de campagne de phishing, ou que les comptes des utilisateurs ont été correctement consultés en utilisant les techniques décrites. Dans les deux cas, ils continueront à surveiller l’activité pour détecter toute activité suspecte.
D’autre part, ils affirment qu’après enquête sur l’activité, il a été découvert que certaines des alertes envoyées aux utilisateurs ont été émises de manière erronée. Pour éviter que cela ne se reproduise, les systèmes de sécurité de la plateforme ont été réajustés.
Dernièrement, LastPass est resté au centre de la polémique pour avoir supprimé des fonctions essentielles de sa version payante, et pour, apparemment, avoir inclus des trackers d’activité dans son application destinée aux téléphones Android.
Rubriques connexes : Applications