Forbes : nouveau piratage LastPass confirmé : voici ce que nous savons jusqu'à présent
Le mercredi 30 novembre, le PDG de LastPass, Karim Toubba, a confirmé qu'une partie non autorisée avait eu accès à "certains éléments des informations de nos clients" au sein d'un service de stockage en nuage tiers. La violation de données a été, a déclaré Toubba, rendue possible grâce aux informations obtenues auprès de un précédent incident de piratage en août cette année. À ce moment-là, Toubba a déclaré que des parties du code source et certaines informations techniques propriétaires de LastPass avaient été consultées. Cependant, il n'est pas clair quelles informations spécifiques ont permis à l'auteur de la menace d'accéder au service de stockage en nuage lors de la dernière violation.
"Compte tenu de la grande quantité de mots de passe qu'il protège à l'échelle mondiale, LastPass reste une cible importante", a déclaré Yoav Iellin, chercheur principal à Silverfort, dit. "La société a admis que l'auteur de la menace avait eu accès à l'aide des informations obtenues lors de la compromission précédente. La nature exacte de ces informations reste incertaine, mais généralement, après avoir subi une violation, il est préférable pour l'organisation de générer de nouvelles clés d'accès et de remplacer les autres informations d'identification compromises. Cela garantit que des éléments tels que le stockage dans le cloud et les clés d'accès de sauvegarde ne peuvent pas être réutilisés. »
