LastPass a été piraté pour la deuxième fois cette année. Selon l’entreprise, les informations des clients sont également concernées.
Mauvais temps pour LastPass ou bêtise ? Après un précédent piratage en août 2022, l’entreprise doit admettre un autre piratage. Alors comme maintenant – et donc un soulagement direct – aucun mot de passe n’a été affecté.
LastPass Hack Second : quelles données sont concernées ?
LastPass a déclaré qu’ils travaillaient sur l’affaire avec les forces de l’ordre et la société de sécurité informatique Mandiant. Les mots de passe des clients ne sont pas affectés car LastPass est construit sur une architecture sans connaissance. Ainsi, du moins pour autant que le feu vert soit annoncé.
Cependant, le PDG de LastPass, Karim Toubba, ajoute que l’étendue du piratage n’est pas encore entièrement comprise. Cependant, on peut supposer que les pirates ont accès à « certaines informations client » a obtenu.
Rien ne devrait changer dans la disponibilité de LastPass. Les Services sont toujours en ligne et utilisables. Cependant, Toubba recommande aux utilisateurs de suivre les meilleures pratiques d’installation et de configuration de LastPass.
Comment les attaquants sont-ils entrés dans les systèmes ?
Selon Karim Toubba, les pirates sont entrés via un service cloud partagé par LastPass et sa société sœur GoTo. Ce qui est piquant, c’est que les informations du dernier piratage en août 2022 ont été utilisées pour réintégrer les systèmes. Cependant, le PDG Toubba a laissé ouverte exactement ce que c’était.
Lors du piratage fin août 2022, les attaquants ont pu pénétrer les systèmes internes de LastPass et voler des parties du code source. Cela s’explique par le fait qu’ils avaient accès à l’environnement de développement. L’attaque n’a été remarquée que quatre jours plus tard.
Il n’y avait aucune indication d’autres incidents pendant cette période. Le PDG de LastPass, Karim Toubba, a également souligné que l’environnement de développement est physiquement séparé des données des utilisateurs. Il n’y a donc aucun moyen d’accéder aux données de l’utilisateur depuis l’environnement de développement. De plus, l’entreprise n’a pas accès aux mots de passe maîtres des clients.
LastPass n’a pas accès aux coffres des utilisateurs
Il a également été vérifié si l’attaquant ou les attaquants avaient éventuellement introduit clandestinement du code malveillant dans le code de production, mais cela n’a pas été confirmé.
Cependant, Karim Toubba a ajouté que les développeurs LastPass n’ont pas la possibilité de pousser indépendamment le code en production. L’équipe Build-Release-Team en est responsable – et seulement après vérification préalable.
Après le piratage en août, Toubba a annoncé des mesures de sécurité renforcées. Apparemment, ce n’était pas assez.