LastPass est un gestionnaire de mots de passe populaire qui a subi plus que sa juste part de violations de données. Des informations ont maintenant été révélées concernant la dernière violation de données LastPass qui a été signalée ici par notre propre John Durso en décembre : LastPass Hacker Gets Vault Data
Apparemment, le PC d’un employé travaillant à domicile a été compromis via un vulnérabilité dans un lecteur multimédia tiers, qui a été exploitée pour déployer un enregistreur de frappe. Une fois l’enregistreur de frappe déployé, ce n’était qu’une question de temps jusqu’à ce que l’employé se connecte à l’aide de ses informations d’identification officielles et, bingo… le pirate avait tout ce dont il avait besoin pour accéder au coffre-fort de l’employé. Ce qui suit est un extrait du rapport LastPass :
L’auteur de la menace a ciblé le PC distant d’un ingénieur DevOps senior en exploitant un logiciel tiers vulnérable. L’auteur de la menace a exploité la vulnérabilité pour diffuser des logiciels malveillants, contourner les contrôles existants et finalement obtenir un accès non autorisé aux sauvegardes dans le cloud. Les données accessibles à partir de ces sauvegardes comprenaient des données de configuration système, des secrets d’API, des secrets d’intégration tiers et des données client LastPass cryptées et non cryptées ~ <source>
Comme je l’ai répété à maintes reprises, pour être livrés avec succès, la plupart des logiciels malveillants nécessitent une sorte d’action involontaire de la part de l’utilisateur, et dans les environnements d’entreprise impliquant plusieurs ordinateurs en réseau exploités par plusieurs utilisateurs, ce risque est sans fin. Même si le coffre-fort LastPass n’a pas été violé directement, il est remarquable de penser que les employés distants ne sont pas mieux formés pour éviter ces types de violations par des tiers. En fait, il est inconcevable que ce qui est essentiellement un PC de travail, y compris du matériel hautement sensible, ne soit pas maintenu complètement séparé des besoins personnels de l’employé.
LastPass a déclaré qu’il est maintenant en train de durcir le DevOps sécurité du réseau domestique de l’ingénieur. Bien que ce soit certainement un pas dans la bonne direction, ces types d’employés qui travaillent à domicile avec des informations sensibles devraient être obligés de maintenir deux PC complètement séparés-un pour les besoins du travail UNIQUEMENT et un autre pour un usage personnel.
Ce que les utilisateurs de LastPass doivent faire
Si vous êtes un utilisateur de LastPass et que vous avez déjà pris des mesures correctives conformément à Bulletin de LastPass, tout va bien. Cependant, si vous venez de découvrir cela maintenant, vous devez suivre les conseils de John Durso dans son article précédent :
Modifiez le mot de passe principal LastPassActivez l’authentification multifacteur LastPass si elle n’est pas activéeModifiez tous les mots de passe critiques du site Web (courriel, institutions financières, cartes de crédit, etc.)
Restez en sécurité.
—
