LastPass a révélé que des attaquants ont volé des données des coffres-forts des clients après avoir violé son stockage en nuage plus tôt cette année, en utilisant des informations volées lors d'un incident survenu en août 2022.

L'attaquant a obtenu l'accès au stockage en nuage de Lastpass en utilisant "la clé d'accès au stockage en nuage et les clés de décryptage du conteneur de stockage double" volées dans son environnement de développement.

Le pirate a sauvegardé une copie d’informations de base sur les comptes des clients et des métadonnées connexes, notamment les noms des entreprises, les noms des utilisateurs finaux, les adresses de facturation, les adresses électroniques, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass. Il a également été en mesure de copier une sauvegarde des données du coffre-fort des clients à partir du conteneur de stockage crypté, qui est stocké dans un format binaire propriétaire contenant à la fois des données non cryptées, telles que les URL des sites Web, ainsi que des champs sensibles entièrement cryptés, tels que les noms d'utilisateur et les mots de passe des sites Web, les notes sécurisées et les données remplies dans les formulaires.

Certaines des données du coffre-fort volé sont cryptées en toute sécurité par un cryptage AES 256 bits et ne peuvent être décryptées qu'avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur, ce mot de passe n'est jamais connu de LastPass, il n'est pas stocké sur les systèmes de Lastpass, et LastPass ne le gère pas.

Les clients ont également été avertis que les attaquants pourraient essayer de forcer leur mot de passe principal pour accéder aux données cryptées du coffre-fort.

Si les clients suivent les meilleures pratiques en matière de mots de passe recommandées par LastPass, il faudrait des millions d'années pour deviner ces mots de passe à l'aide d'une technologie de craquage de mots de passe.