Plusieurs utilisateurs de LastPass affirment qu’ils reçoivent des e-mails de la société concernant des tentatives de connexion non autorisées à l’aide de leurs mots de passe principaux. Heureusement, LastPass a répondu au problème et le gestionnaire de mots de passe dit qu’il n’a divulgué aucune information sur l’utilisateur.
Mise à jour, 29/12/21 8h07, heure de l’Est : LastPass a enquêté plus avant sur le problème et a constaté que les alertes avaient été envoyées par erreur. Dan DeMichele, vice-président de la gestion des produits, LastPass, a publié une déclaration de mise à jour concernant le problème :
Comme indiqué précédemment, LastPass est au courant et a enquêté sur des rapports récents d’utilisateurs recevant des e-mails les alertant des tentatives de connexion bloquées.
Nous avons rapidement travaillé pour enquêter sur cette activité et pour le moment, nous n’avons aucune indication que des comptes LastPass ont été compromis par un tiers non autorisé à la suite de ce bourrage d’informations d’identification, et nous n’avons trouvé aucune indication que les informations d’identification LastPass de l’utilisateur ont été récoltées par des logiciels malveillants, des extensions de navigateur malveillantes ou des campagnes de phishing.
Cependant, par prudence, nous avons continué à enquêter dans le but de déterminer ce qui causait le déclenchement des e-mails d’alerte de sécurité automatisés à partir de nos systèmes.
Notre enquête a depuis révélé que certaines de ces alertes de sécurité, qui ont été envoyées à un sous-ensemble limité d’utilisateurs de LastPass, ont probablement été déclenchées par erreur. En conséquence, nous avons ajusté nos systèmes d’alerte de sécurité et ce problème a depuis été résolu.
Ces alertes ont été déclenchées en raison des efforts continus de LastPass pour défendre ses clients contre les mauvais acteurs et les tentatives de bourrage d’informations d’identification. Il est également important de réitérer que le modèle de sécurité à connaissance nulle de LastPass signifie qu’à aucun moment LastPass ne stocke, n’a connaissance ou n’a accès au(x) mot(s) de passe principal d’un utilisateur.
Nous continuerons de surveiller régulièrement les activités inhabituelles ou malveillantes et, si nécessaire, continuerons de prendre des mesures conçues pour garantir que LastPass, ses utilisateurs et leurs données restent protégés et sécurisés.
Les rapports provenaient de Hacker News, où un utilisateur a déclaré : « LastPass a bloqué une tentative de connexion depuis le Brésil (ce n’était pas moi). Selon un e-mail que j’ai reçu de LastPass, cette connexion utilisait le mot de passe principal du compte LastPass. L’e-mail n’a pas l’air d’être une tentative d’hameçonnage.
Cela a conduit à la spéculation selon laquelle LastPass pourrait avoir divulgué des mots de passe principaux, car ces e-mails n’arrivent que si la personne non autorisée se connecte avec le mot de passe correct. Cependant, cela semblait peu probable, car LastPass indique clairement qu’il ne stocke pas les mots de passe principaux sur ses serveurs et que tout est fait localement.
Nous avons contacté LastPass pour commentaires, et un porte-parole a confirmé nos soupçons :
LastPass a enquêté sur des rapports récents de tentatives de connexion bloquées et a déterminé que l’activité est liée à une activité assez courante liée aux robots, dans laquelle un acteur malveillant ou malveillant tente d’accéder à des comptes d’utilisateurs (dans ce cas, LastPass) à l’aide d’adresses e-mail et de mots de passe obtenus de tiers. les violations des parties liées à d’autres services non affiliés. Il est important de noter que nous n’avons aucune indication que les comptes ont été accédés avec succès ou que le service LastPass a été autrement compromis par une partie non autorisée. Nous surveillons régulièrement ce type d’activité et continuerons de prendre des mesures conçues pour garantir que LastPass, ses utilisateurs et leurs données restent protégés et sécurisés.
Il semble que LastPass ait fait exactement ce qu’il est censé faire dans cette situation en bloquant une tentative de connexion qui semblait suspecte.
Il semble que les utilisateurs qui se sont fait voler leurs mots de passe auraient pu être victimes d’un enregistreur de frappe ou d’une autre forme d’attaque tierce. Leurs informations pourraient également avoir été divulguées dans une attaque sans rapport où ils utilisent la même adresse e-mail et le même mot de passe.
Quoi qu’il en soit, si vous êtes un utilisateur de LastPass (ou un utilisateur de tout outil sensible comme un gestionnaire de mots de passe), c’est une bonne idée d’activer l’authentification à deux facteurs pour vous assurer que vous êtes à l’abri de toute personne qui accède sans autorisation à votre compte. Ce n’est pas non plus une mauvaise idée de changer votre mot de passe si vous craignez qu’il soit compromis pour quelque raison que ce soit.
EN RELATION: Qu’est-ce que l’authentification à deux facteurs et pourquoi en ai-je besoin ?