Si vous avez déjà soumis un ticket d'assistance à LastPass, cet échange est peut-être désormais entre les mains de pirates. Selon TechCrunch, le gestionnaire de mots de passe a confirmé que les noms de clients, les coordonnées et les enregistrements de dossiers d'assistance ont été exposés lors d'une récente violation chez l'un de ses fournisseurs tiers.
Ce que les pirates ont obtenu et ce qu'ils n'ont pas obtenu
LastPass a déclaré que ses propres systèmes n'étaient pas compromis et que les coffres-forts de mots de passe des utilisateurs restaient sécurisés. Les données exposées ont plutôt été accessibles via Klue, une société d’études de marché avec laquelle LastPass travaille.
Bien qu'aucun mot de passe n'ait été volé, les pirates ont utilisé leur accès au réseau de Klue pour extraire les enregistrements des clients, notamment les numéros de téléphone, les adresses e-mail, les adresses physiques et le contenu des tickets d'assistance.
Dans un article de blog sur l'incident, la société a souligné que la violation n'affectait pas les coffres-forts de mots de passe cryptés, les mots de passe principaux ou les informations d'identification stockées dans LastPass lui-même. Même ainsi, les informations exposées pourraient toujours s’avérer utiles aux attaquants, qui pourraient les exploiter pour des campagnes de phishing ou d’ingénierie sociale.
Un diplôme vieux de plusieurs années a ouvert la porte
L'exposition LastPass découle d'une faille de sécurité plus large chez Klue, qui a révélé que les attaquants ont obtenu l'accès en utilisant un identifiant lié à un projet pilote remontant à 2022. TechCrunch rapporte que l'identifiant est resté actif et a permis d'accéder aux systèmes de l'entreprise.
Klue a déclaré que les attaquants ont pu accéder aux données des clients connectés à ses services, affectant ainsi plusieurs organisations qui dépendaient de la plateforme. Outre LastPass, Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Huntress, Sprout Social et Tanium ont été concernés.
Pour LastPass, c’est la deuxième fois que ses utilisateurs sont victimes d’une violation de données. Une violation survenue en 2022 a révélé des coffres-forts de mots de passe cryptés qui ont ensuite été liés au vol de crypto-monnaie. Cette dernière exposition ne concerne pas les données du coffre-fort ni les mots de passe, mais elle met en évidence comment une faille de sécurité chez un fournisseur tiers peut toujours affecter les clients qui n'ont jamais interagi directement avec le fournisseur.
