Il y a deux semainesle géant du gestionnaire de mots de passe LastPass a révélé que ses systèmes avaient été compromis pour la deuxième fois cette année.
En août, LastPass a découvert que le compte professionnel d’un employé avait été compromis pour obtenir un accès non autorisé à l’environnement de développement de l’entreprise, qui stocke une partie du code source de LastPass. Le PDG de LastPass, Karim Toubba, a déclaré que l’activité du pirate était limitée et contenue, et a déclaré aux clients qu’il n’y avait aucune action à entreprendre.
Avance rapide jusqu’à la fin du mois de novembre, et LastPass a confirmé un deuxième compromis qui, selon lui, était lié au premier. Cette fois-ci, LastPass n’a pas eu autant de chance. L’intrus avait eu accès aux informations des clients.
Dans un bref article de blog, Toubba a déclaré que les informations obtenues lors de l’incident d’août avaient été utilisées pour accéder à un service de stockage en nuage tiers que LastPass utilise pour stocker les données des clients, ainsi que les données des clients de sa société mère GoTo, qui possède également LogMeIn et GoToMyPC. .
Mais depuis lors, nous n’avons rien entendu de nouveau de LastPass ou de GoTo, dont le PDG Paddy Srinivasan a publié une déclaration encore plus vague disant seulement qu’il enquêtait sur l’incident, mais a omis de préciser si ses clients étaient également touchés.
La porte-parole de GoTo, Nikolett Bacso-Albaum, a refusé de commenter.
Au fil des ans, TechCrunch a signalé d’innombrables violations de données et ce qu’il faut rechercher lorsque les entreprises divulguent des incidents de sécurité. Avec cela, TechCrunch a balisé et avis de violation de données annoté de LastPass ?️ avec notre analyse de ce que cela signifie et de ce que LastPass a laissé de côté – tout comme nous l’avons fait avec la violation encore non résolue de Samsung plus tôt cette année.
Ce que LastPass a dit dans son avis de violation de données
LastPass et GoTo partagent leur stockage cloud
L’une des principales raisons pour lesquelles LastPass et GoTo informent leurs clients respectifs est que les deux sociétés partager le même stockage cloud ?️.
Aucune des deux sociétés n’a nommé le service de stockage en nuage tiers, mais il s’agira probablement d’Amazon Web Services, la branche informatique en nuage d’Amazon, étant donné qu’un article de blog d’Amazon de 2020 décrivait comment GoTo, connu sous le nom de LogMeIn à l’époque, avait migré plus d’un milliards d’enregistrements du cloud d’Oracle à AWS.
Il n’est pas rare que les entreprises stockent leurs données, même à partir de produits différents, sur le même service de stockage en nuage. C’est pourquoi il est important d’assurer des contrôles d’accès appropriés et de segmenter les données client, de sorte qu’en cas de vol d’un ensemble de clés d’accès ou d’informations d’identification, elles ne puissent pas être utilisées pour accéder à l’ensemble des données client d’une entreprise.
Si le compte de stockage cloud partagé par LastPass et GoTo a été compromis, il se peut que la partie non autorisée ait obtenu des clés permettant un accès large, voire illimité, aux données cloud de l’entreprise, cryptées ou non.
LastPass ne sait pas encore ce qui a été consulté, ou si des données ont été prises
Dans son article de blog, LastPass a déclaré qu’il « travaillait avec diligence » pour comprendre quelles informations précises ?️ a été consulté par la partie non autorisée. En d’autres termes, au moment de son article de blog, LastPass ne sait pas encore quelles données client ont été consultées, ni si des données ont été exfiltrées de son stockage cloud.
C’est une position difficile pour une entreprise. Certains décident d’annoncer rapidement les incidents de sécurité, en particulier dans les juridictions qui imposent des divulgations publiques rapides, même si l’entreprise n’a pas encore grand-chose à partager sur ce qui s’est réellement passé.
LastPass sera bien mieux placé pour déterminer s’il dispose de journaux qu’il peut parcourir, ce qui peut aider les intervenants en cas d’incident à savoir quelles données ont été consultées et si quelque chose a été exfiltré. C’est une question que nous posons beaucoup aux entreprises, et LastPass n’est pas différent. Lorsque les entreprises disent qu’elles n’ont « aucune preuve » d’accès ou de compromission, il se peut qu’elles ne disposent pas des moyens techniques, tels que la journalisation, pour savoir ce qui se passait.
Un acteur malveillant est probablement à l’origine de la violation
Le libellé du billet de blog de LastPass en août laissait ouverte la possibilité que la « partie non autorisée » n’ait pas agi de mauvaise foi.
Il est à la fois possible d’obtenir un accès non autorisé à un système (et d’enfreindre la loi dans le processus) et d’agir de bonne foi si l’objectif final est de signaler le problème à l’entreprise et de le résoudre. Cela ne vous laissera peut-être pas échapper à une accusation de piratage si l’entreprise (ou le gouvernement) n’est pas satisfaite de l’intrusion. Mais le bon sens prévaut souvent lorsqu’il est clair qu’un pirate informatique ou un chercheur en sécurité de bonne foi s’efforce de résoudre un problème de sécurité, et non d’en causer un.
À ce stade, il est assez sûr de supposer que le fête non autorisée ?️ derrière la violation se trouve un acteur malveillant à l’œuvre, même si le mobile du pirate — ou des pirates — n’est pas encore connu.
Le billet de blog de LastPass indique que la partie non autorisée utilisé les informations obtenues ?️ lors de la brèche d’août pour compromettre LastPass une deuxième fois. LastPass ne dit pas quelles sont ces informations. Cela pourrait signifier des clés d’accès ou des informations d’identification qui ont été obtenues par la partie non autorisée lors de leur raid sur l’environnement de développement de LastPass en août, mais que LasPass n’a jamais révoquées.
Ce que LastPass n’a pas dit dans sa violation de données
Nous ne savons pas quand la violation s’est réellement produite
LastPass n’a pas dit quand la deuxième violation s’est produite, seulement que c’était « récemment détecté » ?️qui fait référence à la découverte de l’infraction par l’entreprise et pas nécessairement à l’intrusion elle-même.
Il n’y a aucune raison pour que LastPass, ou toute autre entreprise, retienne la date de l’intrusion si elle savait quand elle s’est produite. S’il a été attrapé assez rapidement, vous vous attendriez à ce qu’il soit mentionné comme un point de fierté.
Mais les entreprises utiliseront plutôt parfois des termes vagues comme « récemment » (ou « amélioré »), qui ne signifient vraiment rien sans le contexte nécessaire. Il se peut que LastPass n’ait découvert sa deuxième brèche que longtemps après que l’intrus a obtenu l’accès.
LastPass ne dira pas quel type d’informations client aurait pu être menacé
Une question évidente est de savoir quelles informations client LastPass et GoTo stockent dans leur stockage cloud partagé ? LastPass dit seulement que « certains éléments » des données clients ?️ ont été consultés. Cela pourrait être aussi large que les informations personnelles que les clients ont fournies à LastPass lors de leur inscription, telles que leur nom et leur adresse e-mail, jusqu’aux informations financières ou de facturation sensibles et aux coffres-forts de mots de passe cryptés des clients.
LastPass est catégorique sur le fait que les mots de passe des clients sont sûrs en raison de la façon dont l’entreprise a conçu son architecture à connaissance zéro. La connaissance zéro est un principe de sécurité qui permet aux entreprises de stocker les données cryptées de leurs clients afin que seul le client puisse y accéder. Dans ce cas, LastPass stocke le coffre-fort de mots de passe de chaque client dans son stockage cloud, mais seul le client dispose du mot de passe principal pour déverrouiller les données, pas même LastPass.
Le libellé du billet de blog de LastPass est ambigu quant à savoir si les coffres-forts de mots de passe chiffrés des clients sont stockés dans le même stockage cloud partagé qui a été compromis. LastPass indique uniquement que les mots de passe des clients « rester crypté en toute sécurité » ?️ce qui peut toujours être vrai, même si la partie non autorisée a accédé ou exfiltré les coffres-forts chiffrés du client, car le mot de passe principal du client est toujours nécessaire pour déverrouiller ses mots de passe.
S’il arrivait que les coffres-forts de mots de passe cryptés des clients soient exposés ou exfiltrés par la suite, cela supprimerait un obstacle important à l’accès aux mots de passe d’une personne, car tout ce dont elle aurait besoin est le mot de passe principal de la victime. Un coffre-fort de mots de passe exposé ou compromis n’est aussi fort que le cryptage utilisé pour le brouiller.
LastPass n’a pas précisé le nombre de clients concernés
Si l’intrus a accédé à un compte de stockage cloud partagé stockant des informations client, il est raisonnable de supposer qu’il avait un accès important, voire illimité, aux données client stockées.
Dans le meilleur des cas, LastPass a segmenté ou compartimenté les informations client pour éviter un scénario tel qu’un vol de données catastrophique.
LastPass indique que son environnement de développement, initialement compromis en août, ne stocke pas les données des clients. LastPass indique également que son environnement de production – un terme désignant les serveurs activement utilisés pour gérer et traiter les informations des utilisateurs – est physiquement séparé de son environnement de développement. Selon cette logique, il semble que l’intrus ait pu accéder à l’environnement de production cloud de LastPass, bien que LastPass ait déclaré dans son post-mortem initial d’août qu’il n’y avait « aucune preuve » d’un accès non autorisé à son environnement de production. Encore une fois, c’est pourquoi nous posons des questions sur les journaux.
En supposant le pire, LastPass compte environ 33 millions de clients. GoTo compte 66 millions de clients depuis ses derniers revenus en juin.
Pourquoi GoTo a-t-il masqué son avis de violation de données ?
Si vous pensiez que le billet de blog de LastPass était léger sur les détails, la déclaration de sa société mère GoTo était encore plus légère. Ce qui était plus curieux, c’est pourquoi si vous recherchiez la déclaration de GoTo, vous ne la trouveriez pas initialement. C’est parce que GoTo a utilisé le code « noindex » sur le blog pour dire aux robots des moteurs de recherche, comme Google, de l’ignorer et de ne pas cataloguer la page dans ses résultats de recherche, garantissant ainsi que personne ne puisse la trouver à moins que vous ne connaissiez son adresse Web spécifique.
Lydia Tsui, directrice de la société de communication de crise Brunswick Group, qui représente GoTo, a déclaré à TechCrunch que GoTo avait supprimé le code « noindex » bloquant l’avis de violation de données des moteurs de recherche, mais a refusé de dire pour quelle raison la publication avait été bloquée pour commencer. .
Certains mystères que nous ne résoudrons peut-être jamais.