Une nouvelle information sur la récente violation de données de LastPass a révélé encore plus de mauvaises nouvelles pour les utilisateurs du gestionnaire de mots de passe.
Paddy Srinivasan, PDG de GoTo, la société mère de LastPass, a indiqué dans un billet de blog que les attaquants qui ont ciblé le service de stockage cloud partagé par les deux sociétés sont parvenus à exfiltrer les sauvegardes cryptées liées à un certain nombre de produits.
Ces produits comprennent Central, Pro, join.me, Hamachi et RemotelyAnywhere.
Vol de la clé de cryptage
Outre les sauvegardes chiffrées, les attaquants ont également exfiltré une clé de chiffrement pour "une partie" des sauvegardes chiffrées, a ajouté Srinivasan.
Les données qui sont maintenant en danger comprennent des noms d'utilisateur de comptes, des mots de passe protégés, une partie des paramètres d'authentification multifactorielle (MFA), ainsi que certains paramètres de produits et des informations sur les licences. Les cartes de crédit et les données bancaires n'ont pas été touchées. Les dates de naissance, les adresses personnelles et les numéros de sécurité sociale ont également été sécurisés, car GoTo ne stocke aucune de ces informations.
En outre, les paramètres MFA d'un "petit sous-ensemble" d'utilisateurs de Rescue et GoToMyPC ont été affectés. En revanche, les bases de données cryptées n'auraient pas été dérobées.
Bien que tous les mots de passe des comptes aient été protégés et cryptés "conformément aux meilleures pratiques", GoTo a tout de même réinitialisé les mots de passe des utilisateurs concernés et leur a demandé de réautoriser les paramètres MFA, lorsque cela était possible. Le PDG a également déclaré que la société est en train de migrer les comptes concernés vers une plateforme de gestion des identités améliorée afin de fournir une sécurité supplémentaire et des options d'authentification et de sécurité par connexion plus robustes.
Les clients concernés sont contactés directement, a confirmé M. Srinivasan.
LastPass a déclaré pour la première fois avoir subi une violation de données en novembre 2022. Une enquête initiale a déterminé que les pirates ont réussi à voler les coffres-forts des clients, soit essentiellement des bases de données contenant tous leurs mots de passe. Les coffres-forts eux-mêmes sont toutefois chiffrés, ce qui signifie que les escrocs n'auront pas la tâche facile pour lire leur contenu.
"Ces zones restent sécurisées par un cryptage AES 256 bits et ne peuvent être déchiffrées qu'avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur en utilisant notre architecture Zero Knowledge", avait déclaré Karim Toubba, PDG de LastPass. "Pour rappel, le mot de passe maître n'est jamais connu de LastPass et n'est pas stocké ou maintenu par LastPass."
