Le hack massif de LastPass de 2022 nous hante toujours
Juste au moment où vous pensiez que la violation de LastPass en 2022 était terminée, nous apprenons encore à quel point le piratage a été préjudiciable. Selon l'expert en blockchain ZachXBT et repéré par The Block , 5,36 millions de dollars ont été volés à 40 utilisateurs lors d'une série d'attaques. Cela s’ajoute aux 4,4 millions de dollars volés en octobre 2023 et aux 6,2 millions de dollars plus tôt cette année en février 2024.
Le piratage initial remonte à 2022, lorsque des pirates ont affirmé avoir accédé aux données de LastPass, qui contenaient des jetons API, des clés client, des graines d'authentification multifactorielles (MFA) et des coffres-forts de mots de passe cryptés. Bien qu'aucune information officielle n'explique comment la violation s'est produite, il est possible que le pirate informatique responsable ait eu accès aux informations qui ont contribué à la violation. Les pirates ont pénétré de force malgré le cryptage des coffres-forts de mots de passe, car les utilisateurs ont réutilisé des combinaisons faibles ou précédemment divulguées. Cet accès, combiné aux mots de passe faibles ou réutilisés des utilisateurs, a conduit à compromettre les différents comptes.
"Je ne saurais trop insister sur ce point, si vous pensez avoir déjà stocké votre phrase de départ ou vos clés dans LastPass, migrez immédiatement vos actifs cryptographiques", a écrit ZachXBT dans un article X l'année dernière.
Seul le temps nous dira si cette série d'attaques se poursuit, ce qui amène à se demander si LastPass est sûr . Mais comment la violation initiale s’est-elle produite ? LastPass a révélé que les pirates avaient volé le code source de l'application. Lors d’une attaque ultérieure, les pirates ont fusionné les données volées avec les informations découvertes lors d’une autre violation de données.
Les pirates ont ensuite exploité une faiblesse dans une application d’accès à distance utilisée par les employés de LastPass. Cela a permis au pirate informatique d'installer un enregistreur de frappe sur le PC d'un ingénieur senior de LastPass, qui a enregistré toutes les entrées clés.
Cette violation met en évidence l’importance de toujours avoir un mot de passe fort sur tous vos comptes. Ne réutilisez jamais vos mots de passe et n'ayez jamais de mots de passe faciles à deviner pour lesquels les pirates informatiques vous aimeront . Si créer des mots de passe longs et forts n'est pas votre truc, vous pouvez toujours utiliser l'un des meilleurs générateurs de mots de passe .