Points clés:
En août 2022, le service de gestion de mots de passe LastPass a subi une cyberattaque et les identifiants cryptés des utilisateurs ont été récupérés.
Grâce à l’utilisation de la force brute, l’attaquant pourrait être en mesure de déchiffrer les mots de passe des sites Web de certains utilisateurs de LastPass.
Un mot de passe principal est utilisé pour chiffrer les coffres-forts, empêchant ainsi un attaquant de les lire.
L'organisation a mené une enquête et a découvert que l'attaquant avait utilisé ces connaissances techniques pour pirater l'appareil d'un autre employé afin de voler des jetons d'accès aux données client conservées dans un système de stockage cloud.
Le gestionnaire de mots de passe Lastpass a vu des attaquants non identifiés accéder à leurs serveurs et voler les données des clients en août 2022. Celles-ci contenaient leurs adresses IP à partir desquelles ils utilisaient les services de l'entreprise de verrouillage de mots de passe, leurs mots de passe, noms d'utilisateur, noms d'entreprise, etc.
Le coffre-fort du client a été cloné avec toutes ses informations, a également confirmé Lastpass, a indiqué la société dans un communiqué du 23 décembre. Lorsque les voleurs ont eu accès à certaines informations sur les codes sources du département de développement de Lastpass, un vol de données a eu lieu. Un autre employé a été la cible du vol de codes sources et a pu obtenir des mots de passe et des clés pour ouvrir les volumes de stockage dans le cloud de Lastpass.
Avis d'incident de sécurité récent – Le blog LastPas#lastpasshack#hack#lastpass#infosec https://t.co/sQALfnpOTy
– Thomas Zickell (@thomaszickell) 23 décembre 2022
Des coffres-forts cryptés appartenant à certains clients ont également été saisis. Chaque client qui utilise le service LastPass stocke les mots de passe de son site Web dans ces coffres-forts. Heureusement, les coffres-forts disposent d'un mot de passe principal qui les crypte, empêchant ainsi l'intrus de les lire.
La déclaration de la société souligne l’utilisation d’un cryptage de pointe par le service, ce qui rend extrêmement difficile pour un attaquant d’afficher les fichiers du coffre-fort sans le mot de passe principal.
« Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être déchiffrés qu'avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge. Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass.
Malgré cela, LastPass reconnaît que si un utilisateur a choisi un mot de passe principal faible, un attaquant peut utiliser la force brute pour le deviner, déchiffrer le coffre-fort et obtenir tous les mots de passe du site Web de l'utilisateur.
L’attaque LastPass prouve un point que les développeurs Web3 défendent depuis des années : les connexions au portefeuille blockchain devraient remplacer le mécanisme conventionnel de connexion par nom d’utilisateur et mot de passe.
Comme Coincu l'a rapporté, ConsenSys a mis à jour sa politique de confidentialité à la suite d'Uniswap. Infura collectera les données IP de l'utilisateur et l'adresse du portefeuille Ethereum lorsqu'il enverra une transaction lorsqu'il utilisera Infura comme fournisseur RPC par défaut dans le portefeuille MetaMask.
Cela met la communauté en colère car ses informations seront révélées, et on peut dire que la décentralisation disparaît progressivement de MetaMask. Immédiatement, ConsenSys a répondu aux utilisateurs qu'ils ne collectent des données que lorsque les utilisateurs effectuent des transactions.
AVIS DE NON-RESPONSABILITÉ : Les informations contenues sur ce site Web sont fournies à titre de commentaire général du marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d’investir.
Rejoignez-nous pour suivre l'actualité : https://linktr.ee/coincu
Site Web : coincu.com
Harold
Actualités Coincu