La société de gestion de mots de passe LastPass a été piratée il y a deux semaines, ce qui a permis à des acteurs menaçants de voler le code source de la société et des informations techniques exclusives.
Suite à des demandes d’information, LastPass a publié aujourd’hui un avis de sécurité confirmant que l’entreprise a été victime d’une intrusion par le biais d’un compte de développeur compromis qui a été utilisé pour accéder à l’environnement de développement de l’entreprise.
Bien que LastPass affirme qu’il n’y a aucune preuve que les données des clients ou les coffres-forts de mots de passe cryptés ont été compromis, les acteurs de la menace ont volé des parties de leur code source et des « informations techniques exclusives de LastPass ».
LastPass n’a pas fourni d’autres détails concernant l’attaque, la manière dont les acteurs de la menace ont compromis le compte du développeur et le code source qui a été volé.
LastPass stocke les mots de passe dans des « coffres-forts cryptés » qui ne peuvent être décryptés qu’à l’aide du mot de passe principal du client, qui, selon LastPass, n’a pas été compromis dans cette cyberattaque.
L’année dernière, LastPass a été victime d’une attaque par » credential stuffing » qui a permis à des acteurs menaçants de confirmer le mot de passe principal d’un utilisateur.
