Un « incident de sécurité » de LastPass peut avoir exposé des données personnelles

By TheDotSkills On Déc 1, 2022

LastPass, l’un des gestionnaires de mots de passe tiers les plus populaires, avertit tous les utilisateurs d’un « incident de sécurité » sur lequel son équipe enquête activement. Dans un article de blog mercredi, la société a assuré aux utilisateurs que « les mots de passe restent cryptés en toute sécurité ».

« Nous avons déterminé qu’une partie non autorisée, utilisant les informations obtenues lors de l’incident d’août 2022, a pu accéder à certains éléments des informations de nos clients », a écrit Karim Toubba, PDG de LastPass. « Dans le cadre de nos efforts, nous continuons à déployer des mesures de sécurité et des capacités de surveillance améliorées dans notre infrastructure pour aider à détecter et à prévenir d’autres activités d’acteurs malveillants. »

Nous avons récemment détecté une activité inhabituelle au sein d’un service de stockage cloud tiers, qui est actuellement partagé par LastPass et son affilié GoTo. Les mots de passe des clients restent chiffrés en toute sécurité grâce à l’architecture Zero Knowledge de LastPass. Plus d’infos : https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK

— LastPass (@LastPass) 30 novembre 2022

La violation est liée à un incident d’août au cours duquel « une partie non autorisée a eu accès à des parties de l’environnement de développement LastPass via un seul compte de développeur compromis et a pris des parties du code source et certaines informations techniques propriétaires de LastPass ». À l’époque, LastPass a déclaré qu’il n’y avait « aucune preuve d’un accès non autorisé aux données des clients dans notre environnement de production ».

Maintenant, LastPass indique que la partie non autorisée a pu accéder à « certains éléments des informations de nos clients ». Toubba ne précise pas quels sont ces éléments ni combien d’utilisateurs ont été touchés. LastPass crée des applications Mac et iOS et est très populaire parmi les utilisateurs d’Apple.

Lastpass a déclaré avoir travaillé avec une société de cybersécurité pour enquêter sur Mandiant afin d’enquêter sur l’incident et a confirmé qu’il avait informé les forces de l’ordre de l’attaque.

Bien que les mots de passe semblent sûrs, ce n’est pas une mauvaise idée de changer votre mot de passe principal si vous utilisez LastPass. Et gardez certainement un œil sur l’un de vos comptes pour toute activité suspecte jusqu’à ce que nous en sachions plus.

Nous avons des conseils sur le choix d’un mot de passe fort dans un article séparé.