LastPass, l’un des plus grands gestionnaires de mots de passe freemium basés sur le cloud avec plus de 25 millions d’utilisateurs, a été piraté. Les pirates se sont enfuis avec des « portions de code source », selon une annonce de l’entreprise elle-même. La bonne nouvelle est qu’aucune information d’utilisateur ou mot de passe n’était en danger.
Dans un article de blog (s’ouvre dans un nouvel onglet) (via des sweclockers (s’ouvre dans un nouvel onglet)), LastPass a révélé aujourd’hui qu’il avait été exposé à une violation de données il y a deux semaines. La société « a détecté une activité inhabituelle dans certaines parties de l’environnement de développement LastPass », qui a entraîné le vol de données propriétaires. Un compte de développeur compromis est à blâmer pour la violation. Je croise les doigts pour qu’ils n’utilisent pas ‘mot de passe’ ou ‘12345’ ou cela va devenir embarrassant pour quelqu’un.
En ce qui concerne les informations personnelles et les mots de passe des utilisateurs, il n’y a aucune preuve d’accès aux données client ou aux mots de passe principaux du compte, selon LastPass.
Les données du coffre-fort crypté des utilisateurs semblent également ne pas avoir été affectées. LastPass indique que tout l’incident s’est produit dans son « environnement de développement », ce qui signifie qu’il est loin d’avoir touché aux données chiffrées du coffre-fort.
En plus des mots de passe, les utilisateurs de LastPass peuvent également stocker des copies numériques de dossiers personnels tels que des cartes d’identité et d’assurance dans un coffre-fort dans le cloud. La version premium des services vous donne accès à ce coffre-fort sur plusieurs appareils.
Votre prochaine machine
Meilleur PC de jeu (s’ouvre dans un nouvel onglet): Les meilleures machines pré-construites par les pros
Meilleur ordinateur portable de jeu (s’ouvre dans un nouvel onglet): Ordinateurs portables parfaits pour les jeux mobiles
« En réponse à l’incident, nous avons déployé des mesures de confinement et d’atténuation et engagé une société leader dans le domaine de la cybersécurité et de la criminalistique », a écrit Karim Toubba, PDG de LastPass. « Pendant que notre enquête est en cours, nous avons atteint un état de confinement, mis en place des mesures de sécurité renforcées supplémentaires et ne voyons aucune autre preuve d’activité non autorisée. »
L’année dernière, LastPass a subi une attaque de credential stuffing (s’ouvre dans un nouvel onglet), où des pirates tentaient d’accéder aux coffres-forts de mots de passe hébergés dans le cloud des utilisateurs. En 2015, LastPass a demandé à ses clients de changer leurs mots de passe principaux après une violation de données (s’ouvre dans un nouvel onglet) s’est produit lorsque des pirates ont réussi à voler certaines données d’utilisateur (mais pas de mots de passe).
Si vous êtes un utilisateur de LastPass, la société indique qu’il n’y a aucune action à entreprendre pour le moment. Cependant, LastPass vous recommande de configurer l’authentification via l’application LastPass Authenticator et de vous assurer que tous vos appareils sont à jour.