Des pirates ont volé le code source de Lastpass lors d’un incident de violation de données
Aujourd'hui, Lastpass a confirmé une violation de données dans un article de blog décrivant l'incident à ses clients qui comptent sur les produits de l'entreprise pour la sécurité en ligne. La société a toutefois souligné que les données des clients n'avaient pas été volées lors de la violation et que les utilisateurs n'avaient rien à faire pour sécuriser leurs données.
Dans un article rédigé par le PDG Karim Toubba, Lastpass a déclaré ce qui suit :
"Il y a deux semaines, nous avons détecté une activité inhabituelle dans certaines parties de l'environnement de développement LastPass. Après avoir lancé une enquête immédiate, nous n'avons vu aucune preuve que cet incident impliquait un accès aux données des clients ou à des coffres-forts de mots de passe cryptés.
La violation s'est produite via le compte d'un développeur compromis, et la partie non autorisée s'est emparée de parties du code source de l'entreprise et des informations techniques propriétaires de LastPass.
Nous avons récemment détecté une activité inhabituelle dans certaines parties de l'environnement de développement LastPass et avons lancé une enquête et déployé des mesures de confinement. Nous n'avons aucune preuve que cela impliquait un accès aux données des clients. Plus d'infos : https://t.co/cV8atRsv6d pic.twitter.com/HtPLvK0uEC
— LastPass (@LastPass) 25 août 2022
Toubba a souligné que les informations des utilisateurs étaient en sécurité et que la partie non autorisée n'avait compromis aucun mot de passe ni accès aux coffres-forts des utilisateurs.
Bien qu'il soit réconfortant de savoir qu'aucune donnée n'a été volée pour le moment, le code source volé et les informations exclusives pourraient constituer un problème important et contribuer à des tentatives de violation ultérieures. LastPass semble être conscient de cette possibilité, car Toubba ajoute plus tard que la société a embauché une "société leader en cybersécurité et en criminalistique".
Il s'agit du deuxième problème de données rencontré par LastPass au cours de la dernière année. En décembre, certains utilisateurs de LastPass ont été victimes d'une "attaque de bourrage d'informations d'identification" par des pirates tentant d'accéder à des coffres-forts personnels. Selon la société, les comptes de personne n'ont été compromis lors de l'attaque.
LastPass indique qu'il informera les clients au fur et à mesure que l'entreprise en apprendra davantage sur ce qui s'est passé.
La violation d'il y a quelques semaines s'est produite dans l'environnement de développement, de sorte qu'aucun mot de passe de consommateur n'était en danger. Les mots de passe des utilisateurs sont cachés dans des coffres-forts cryptés qui ne sont accessibles qu'avec le mot de passe principal de l'utilisateur. LastPass est largement considéré comme l'un des meilleurs gestionnaires de mots de passe.