Une autre mise à jour sur la récente Violation de données LastPass a révélé encore plus de mauvaises nouvelles potentielles pour les utilisateurs du gestionnaire de mots de passe (s’ouvre dans un nouvel onglet).
Paddy Srinivasan, PDG de la société mère de LastPass, GoTo, a révélé dans un article de blog (s’ouvre dans un nouvel onglet) que les attaquants qui ont ciblé des tiers stockage en ligne service partagé par les deux entreprises a réussi à exfiltrer des sauvegardes cryptées liées à un certain nombre de produits.
Ces produits incluent Central, Pro, join.me, Hamachi et RemotelyAnywhere.
Clé de chiffrement prise
Outre les sauvegardes cryptées, les attaquants ont également exfiltré une clé de cryptage pour « une partie » des sauvegardes cryptées, a ajouté Srinivasan.
Les données actuellement menacées comprennent les noms d’utilisateur de compte, les mots de passe salés et hachés, une partie des paramètres d’authentification multifacteur (MFA), ainsi que certains paramètres de produit et informations de licence. La carte de crédit ou les coordonnées bancaires n’ont pas été affectées. Les dates de naissance, les adresses personnelles et les numéros de sécurité sociale seraient également sécurisés, car GoTo ne stocke aucun de ces éléments.
De plus, un « petit sous-ensemble » d’utilisateurs de Rescue et GoToMyPC ont vu leurs paramètres MFA impactés. Les bases de données cryptées, cependant, n’auraient pas été prises.
Bien que tous les mots de passe des comptes aient été salés et hachés « conformément aux meilleures pratiques », GoTo a quand même réinitialisé le mots de passe (s’ouvre dans un nouvel onglet) des utilisateurs concernés et leur a demandé de réautoriser les paramètres MFA, dans la mesure du possible. Le PDG a également déclaré que la société migrait les comptes concernés vers une plate-forme de gestion des identités améliorée pour fournir une sécurité supplémentaire et des options d’authentification et de sécurité basées sur la connexion plus robustes.
Les clients concernés sont contactés directement, a confirmé Srinivasan.
LastPass a signalé pour la première fois avoir subi une violation de données en novembre 2022. Une première enquête a déterminé que les pirates avaient réussi à voler les coffres-forts des clients, essentiellement des bases de données contenant tous leurs mots de passe. Cependant, les coffres-forts eux-mêmes sont cryptés, ce qui signifie que les escrocs n’auront pas autant de facilité à lire leur contenu.
« Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être décryptés qu’avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur en utilisant notre architecture Zero Knowledge », a déclaré le PDG de LastPass, Karim Toubba. « Pour rappel, le mot de passe principal n’est jamais connu de LastPass et n’est ni stocké ni conservé par LastPass. »