La faille de sécurité de LastPass d’août 2022 a peut-être été plus grave que ce que l’entreprise avait précédemment divulgué.
Le service populaire de gestion des mots de passe a révélé jeudi que des acteurs malveillants avaient obtenu une mine d’informations personnelles appartenant à ses clients, notamment leurs coffres-forts de mots de passe cryptés à l’aide de données siphonnées lors de l’effraction.
Sont également volés « les informations de base sur le compte client et les métadonnées associées, y compris les noms de société, les noms d’utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass », a déclaré la société. m’a dit.
L’incident d’août 2022, qui fait toujours l’objet d’une enquête en cours, impliquait que les malfaiteurs accédaient au code source et aux informations techniques exclusives de son environnement de développement via un seul compte d’employé compromis.
LastPass a déclaré que cela permettait à l’attaquant non identifié d’obtenir des informations d’identification et des clés qui ont ensuite été exploitées pour extraire des informations d’une sauvegarde stockée dans un service de stockage basé sur le cloud, qui, a-t-il souligné, est physiquement séparé de son environnement de production.
En plus de cela, l’adversaire aurait copié les données du coffre-fort client à partir du service de stockage crypté. Il est stocké dans un « format binaire propriétaire » qui contient à la fois des données non cryptées, telles que les URL de sites Web, et des champs entièrement cryptés tels que les noms d’utilisateur et les mots de passe des sites Web, les notes sécurisées et les données remplies par formulaire.
Ces champs, a expliqué la société, sont protégés à l’aide d’un cryptage AES 256 bits et ne peuvent être décodés qu’avec une clé dérivée du code de l’utilisateur. mot de passe maître sur les appareils des utilisateurs.
LastPass a confirmé que la faille de sécurité n’impliquait pas l’accès aux données de carte de crédit non cryptées, car ces informations n’étaient pas archivées dans le conteneur de stockage en nuage.
La société n’a pas divulgué la date de la sauvegarde, mais a averti que l’acteur de la menace « pourrait tenter d’utiliser la force brute pour deviner votre mot de passe principal et déchiffrer les copies des données du coffre-fort qu’il a prises », ainsi que cibler les clients avec l’ingénierie sociale et attaques de credential stuffing.
Il convient de noter à ce stade que le succès des attaques par force brute pour prédire les mots de passe maîtres est inversement proportionnel à leur force, ce qui signifie que plus il est facile de deviner le mot de passe, moins le nombre de tentatives nécessaires pour le déchiffrer est important.
« Si vous réutilisez votre mot de passe principal et que ce mot de passe a déjà été compromis, un acteur malveillant peut utiliser des vidages d’informations d’identification compromises déjà disponibles sur Internet pour tenter d’accéder à votre compte », a averti LastPass.
Le fait que les URL des sites Web soient en clair signifie qu’un déchiffrement réussi du mot de passe principal pourrait donner aux attaquants une idée des sites Web sur lesquels un utilisateur particulier détient des comptes, leur permettant de monter des attaques de phishing ou de vol d’informations d’identification supplémentaires.
La société a en outre déclaré qu’elle avait notifié à un petit sous-ensemble de ses clients professionnels – qui représente moins de 3 % – de prendre certaines mesures non spécifiées en fonction de la configuration de leurs comptes.
Le développement intervient quelques jours après qu’Okta a reconnu que les acteurs de la menace avaient obtenu un accès non autorisé à ses référentiels Workforce Identity Cloud (WIC) hébergés sur GitHub et copié le code source.