LastPass a publié une longue déclaration sur la violation subie il y a quelques mois. En termes simples, les choses ne vont pas bien.
Il y a quelques semaines, LastPass a publié une déclaration sur son blog, affirmant qu'elle avait a connu une violation. À l'époque, Karim Toubba, le PDG de LastPass, n'était pas entré dans tous les détails, partageant seulement qu'un incident de sécurité s'était produit avec un service de stockage cloud tiers utilisé par LastPass. Maintenant, l’entreprise donne une description détaillée de ce qui s’est passé, et ce n’est pas bon.
Toubba s'est de nouveau rendu sur le blog de l'entreprise pour partager ses découvertes concernant l'incident. Selon le message, dans cette attaque, les données des clients n'ont pas été affectées, mais « le code source et les informations techniques » ont été volés. Malheureusement, avec ces informations, l'attaquant a ensuite ciblé un employé, obtenu des informations d'identification et des clés qui ont été utilisées pour décrypter et accéder aux informations sur le service de stockage cloud.
À partir de là, l'attaquant a pu accéder aux informations du compte telles que « les noms des utilisateurs finaux, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass. » En outre, des données du coffre-fort des clients ont été obtenues, qui contenaient « des noms d’utilisateur et des mots de passe de sites Web cryptés, des notes sécurisées et données remplies par formulaire."
Alors vous vous demandez peut-être: qu’est-ce que tout cela signifie exactement?
Eh bien, il y a de bonnes et de mauvaises nouvelles. Quant à la bonne nouvelle, les données collectées ont été cryptées et nécessitent le mot de passe principal de l'utilisateur pour être déchiffrées. La mauvaise nouvelle est que si l’attaquant a le temps, il peut utiliser et essayer autant de mots de passe que nécessaire pour décrypter les données. LastPass reconnaît que c'est une possibilité, mais déclare que ce serait « extrêmement difficile », tant que le mot de passe lui-même est un mot de passe. compliqué.
LastPass prévient également que les attaques de phishing pourraient commencer à devenir plus courantes, dans le but de surprendre les clients et d'extraire les mots de passe principaux. En ce qui concerne ce qui peut être fait maintenant, il s’agit simplement de rester sur ses gardes et de ne pas devenir la proie de tentatives de phishing. Si cela semble inhabituel ou suspect, faites des recherches. LastPass exige des mots de passe d'au moins 12 caractères depuis un certain temps. Mais de telles violations peuvent se produire et lorsqu’elles se produisent, cela remet vraiment les choses en perspective.
La société essaie cependant de donner une certaine assurance, affirmant qu’il faudrait des millions d’années pour essayer de deviner un mot de passe complexe. Bien sûr, cela ne devrait vraiment pas vous rassurer puisqu’il y a quelqu’un avec vos données cryptées. LastPass a apporté des modifications à son infrastructure afin de prévenir les violations à l'avenir et a contacté les clients professionnels à haut risque avec des instructions.
Source: Dernier passage