Le gestionnaire de mots de passe LassPass a déclaré qu’il enquêtait sur un incident de sécurité après que ses systèmes aient été compromis pour la deuxième fois cette année.
Le directeur général de LastPass, Karim Toubba, a déclaré dans un article de blog qu’une « partie non autorisée » avait récemment eu accès aux informations de certains clients stockées dans un service cloud tiers partagé par LastPass et sa société mère, GoTo. Toubba a déclaré que la partie non autorisée avait utilisé des informations volées dans les systèmes de LastPass en août, ce que la société avait divulgué à l’époque.
Le service cloud tiers n’a pas été nommé, mais un article de blog de 2020 d’Amazon Web Services a cité la transition par l’entreprise d’un milliard d’enregistrements clients vers le cloud d’Amazon.
Toubba n’a pas précisé quelles informations spécifiques sur les clients ont été prises, mais a déclaré qu’il s’efforçait de « comprendre l’étendue de l’incident et d’identifier les informations spécifiques qui ont été consultées ».
GoTo, anciennement LogMeIn, qui a acquis LastPass en 2015, a déclaré dans une déclaration tout aussi vague qu’il enquêtait sur l’incident. Il n’est pas encore clair si les clients LogMeIn et GoTo sont touchés par la violation.
LastPass a déclaré en août qu’une partie non autorisée « a eu accès à des parties de l’environnement de développement LastPass via un seul compte de développeur compromis et a pris des parties du code source et certaines informations techniques propriétaires de LastPass ». LastPass a déclaré que la conception et les contrôles de son système « empêchaient l’acteur de la menace d’accéder aux données client ou aux coffres-forts de mots de passe cryptés ».
Toubba a ajouté mercredi dans le blog que « les mots de passe des clients restent cryptés en toute sécurité ».
La porte-parole de GoTo, Elizabeth Bassler, a refusé de commenter au-delà du billet de blog de LastPass.
Si vous en savez plus sur LastPass et GoTo, contactez-nous via Signal au +1 646.755.8849 ou via SecureDrop.