LastPass confirme que des pirates ont volé des coffres-forts de mots de passe cryptés... il y a quatre mois

Garder une trace de tous nos mots de passe est une chose difficile, surtout parce que c'est une mauvaise pratique de les réutiliser sur plusieurs comptes, ils doivent également être forts et difficiles à deviner. Notre meilleure solution est d'utiliser un gestionnaire de mots de passe, de cette façon nous pouvons obtenir des mots de passe forts et difficiles à deviner et nous évitons d'avoir à les mémoriser tous (ce que je ne peux pas), ils sont tous au même endroit, mais que se passe-t-il si votre gestionnaire de mots de passe a une faille de sécurité et que votre coffre-fort de mots de passe est divulgué ? C'est arrivé il y a quatre mois, et ils ne vous le disent que maintenant.

Un récapitulatif rapide de ce qui se passait

25 août 2022

LastPass a publié une note officielle indiquant qu'ils avaient remarqué une activité inhabituelle deux semaines plus tôt et avaient commencé à enquêter, mais il n'y avait aucune preuve d'accès aux données des clients. Apparemment, l'attaquant n'avait accès qu'à une partie du code source via l'environnement de développement.

15 septembre 2022

Ils avaient terminé leur enquête et leur criminalistique avec l'équipe Mandiant , après avoir terminé l'enquête, ils ont conclu que l'activité des attaquants était limitée à une période de 4 jours en août et que l'équipe n'a pas tardé à contenir l'incident.

Toujours selon leur enquête, la violation s'est produite dans l'environnement de développement, qui n'a techniquement pas accès aux données des clients ou aux coffres-forts de mots de passe.

Même en ayant accès aux coffres-forts de mots de passe cryptés des utilisateurs, rien ne peut être fait sans le mot de passe principal de l'utilisateur, qui fait partie de leur modèle de sécurité à connaissance zéro (gardez cependant cette dernière phrase à l'esprit)

30 novembre 2022

Dans le cadre de leur engagement de transparence, ils ont ajouté une mise à jour de la situation de violation, déclarant qu'ils ont remarqué une activité inhabituelle sur un service de stockage en nuage tiers, qui est à la fois partagé par LastPass et GoTo, et encore une fois, ils ont lancé une enquête avec le Mandiant équipe.

Cette fois, ils ont déclaré que la violation qui s'est produite en août a en fait permis à l'attaquant d'accéder à "certains éléments" des informations des clients, mais que tous les mots de passe sont sûrs, encore une fois, en raison de leur modèle de sécurité à connaissance nulle.

Qu'est ce qu'il se passe maintenant?

Le jour du 22 décembre 2022, LastPass est venu au public pour dire que, sur la faille de sécurité d'août, l'attaquant a pu obtenir des informations personnellement identifiables, y compris le nom de l'entreprise, le nom de l'utilisateur final, les e-mails, les adresses de facturation, les numéros de téléphone et adresses IP, ainsi que, attendez-le, Password Vaults . 🤯

Selon LastPass, votre coffre-fort de mots de passe est totalement sûr et inviolable, étant donné que vous avez suivi toutes leurs directives pour sécuriser la création du mot de passe principal.

Pour le moment, il n'y a aucune preuve que des données de carte de crédit non cryptées aient été divulguées, ce qui à ce stade, j'ai mes inquiétudes car ils ont mis 4 mois à venir au public en disant que les PII et les coffres-forts de mots de passe sont entre les mains des attaquants.

Vous pouvez consulter l'intégralité de l'avis d'incident ici

Dans quelle mesure mes mots de passe sont-ils sûrs ?

Si vous avez suivi l'intégralité des directives LastPass pour la création de mots de passe, vous êtes probablement en sécurité, les attaquants commenceront à utiliser des dictionnaires de milliards de mots de passe déjà divulgués (le dictionnaire RockYou2021 contient un nombre incroyable de 8,4 milliards de mots de passe) pour accélérer le processus.

Les attaquants peuvent également essayer de forcer brutalement votre mot de passe, mais si vous pensez que cela leur prendrait très longtemps, détrompez-vous. Au fur et à mesure que la technologie évolue, elle diminue également le temps de crack des mots de passe, le saut entre un RTX 3090 et un RTX 4090 est presque 2x pour presque tous les algorithmes.

Vous vous demandez peut-être combien de temps faudrait-il à quelqu'un pour déchiffrer un mot de passe complexe, quelqu'un a en fait testé cela avec le matériel le plus récent, ils ont utilisé une plate-forme RTX 4090 à 8 cartes et ont pu déchiffrer un mot de passe à 8 chiffres très complexe. en 48 minutes avec Hashcat, selon cet article de BitDefender .

Donc, pour être sûr que vos comptes sont en sécurité, il est fortement recommandé de modifier tous les mots de passe des comptes que vous avez stockés dans LastPass, y compris votre mot de passe principal.