La solution de gestion des mots de passe LastPass a partagé plus de détails concernant l’incident de sécurité le mois dernier, révélant que l’acteur de la menace avait accès à ses systèmes pendant une période de quatre jours en août 2022.
« Il n’y a aucune preuve d’activité d’acteur menaçant au-delà de la chronologie établie », a déclaré le PDG de LastPass, Karim Toubba. a dit dans une mise à jour partagée le 15 septembre, ajoutant, « il n’y a aucune preuve que cet incident ait impliqué un accès aux données client ou à des coffres-forts de mots de passe cryptés ».
LastPass fin août a révélé qu’une violation ciblant son environnement de développement avait entraîné le vol de certains de ses codes source et informations techniques, bien qu’aucune autre précision n’ait été fournie.
La société, qui a déclaré avoir terminé l’enquête sur le piratage en partenariat avec la société de réponse aux incidents Mandiant, a déclaré que l’accès avait été obtenu à l’aide du point de terminaison compromis d’un développeur.
Bien que la méthode exacte d’entrée initiale reste « non concluante », LastPass a noté que l’adversaire avait abusé de l’accès persistant pour « usurper l’identité du développeur » après que la victime ait été authentifiée à l’aide d’une authentification multifacteur.
La société a réitéré que malgré l’accès non autorisé, l’attaquant n’a pas réussi à obtenir de données client sensibles en raison de la conception du système et des contrôles zéro confiance mis en place pour prévenir de tels incidents.
Cela inclut la séparation complète des environnements de développement et de production et sa propre incapacité à accéder aux coffres-forts de mots de passe des clients sans le mot de passe principal défini par les utilisateurs.
« Sans le mot de passe principal, il n’est possible à personne d’autre que le propriétaire d’un coffre-fort de déchiffrer les données du coffre-fort », a souligné Toubba.
En outre, il a également déclaré avoir effectué des vérifications de l’intégrité du code source pour rechercher tout signe d’empoisonnement et que les développeurs ne possèdent pas les autorisations requises pour pousser le code source directement de l’environnement de développement vers la production.
Enfin, LastPass a noté qu’il avait fait appel aux services d’une entreprise de cybersécurité « de premier plan » pour améliorer ses pratiques de sécurité du code source et qu’il avait déployé des garde-corps de sécurité supplémentaires pour mieux détecter et prévenir les attaques visant ses systèmes.