LastPass a dû faire face à une situation plutôt malheureuse. Certains utilisateurs ont reçu des alertes indiquant que des personnes non autorisées se connectaient à leur compte LastPass avec leur mot de passe principal. Il s’avère que ces alertes ont été envoyées par erreur, selon un communiqué de la société.
Nous avons d’abord couvert ces alertes LastPass hier, et LastPass a déclaré qu’il s’agissait probablement d’une fuite tierce qui a causé un accès non autorisé. Après une enquête plus approfondie, cependant, la société a constaté que les avertissements avaient été envoyés aux utilisateurs par erreur.
Nous avons reçu un e-mail de LastPass expliquant la situation. Dan DeMichele, vice-président de la gestion des produits, LastPass, a expliqué ce qui s’est passé :
Comme indiqué précédemment, LastPass est au courant et a enquêté sur des rapports récents d’utilisateurs recevant des e-mails les alertant des tentatives de connexion bloquées.
Nous avons rapidement travaillé pour enquêter sur cette activité et pour le moment, nous n’avons aucune indication que des comptes LastPass ont été compromis par un tiers non autorisé à la suite de ce bourrage d’informations d’identification, et nous n’avons trouvé aucune indication que les informations d’identification LastPass de l’utilisateur ont été récoltées par des logiciels malveillants, des extensions de navigateur malveillantes ou des campagnes de phishing.
Cependant, par prudence, nous avons continué à enquêter dans le but de déterminer la cause des e-mails d’alerte de sécurité automatisés déclenchés à partir de nos systèmes.
Notre enquête a depuis révélé que certaines de ces alertes de sécurité, qui ont été envoyées à un sous-ensemble limité d’utilisateurs de LastPass, ont probablement été déclenchées par erreur. En conséquence, nous avons ajusté nos systèmes d’alerte de sécurité et ce problème a depuis été résolu.
Ces alertes ont été déclenchées en raison des efforts continus de LastPass pour défendre ses clients contre les mauvais acteurs et les tentatives de bourrage d’informations d’identification. Il est également important de réitérer que le modèle de sécurité à connaissance nulle de LastPass signifie qu’à aucun moment LastPass ne stocke, n’a connaissance ou n’a accès au(x) mot(s) de passe principal d’un utilisateur.
Nous continuerons de surveiller régulièrement les activités inhabituelles ou malveillantes et, si nécessaire, continuerons de prendre des mesures conçues pour garantir que LastPass, ses utilisateurs et leurs données restent protégés et sécurisés.
C’est une erreur malheureuse, mais au moins les utilisateurs de LastPass peuvent être tranquilles en sachant que leurs comptes sont en sécurité et qu’une simple erreur les a amenés à recevoir l’erreur. Néanmoins, il peut être judicieux de configurer une authentification à deux facteurs pour plus de sécurité.
EN RELATION: L’authentification à deux facteurs SMS n’est pas parfaite, mais vous devriez toujours l’utiliser