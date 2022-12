Service de gestion des mots de passe Dernier passage jeudi a révélé plus de détails sur La brèche de novembreconfirmant que les informations de base du client ont été exposées, mais pas les données critiques telles que les mots de passe ou les détails de la carte de crédit.

La brèche de fin novembre résultait d’une brèche plus ancienne en août, lorsque de mauvais acteurs ont fait irruption dans l’une des bases de code back-end de LastPass. Ils ont volé des données d’entreprise qui ont ensuite été utilisées récemment pour pénétrer dans une autre base de données LastPass afin de capturer des données client non cryptées telles que des noms, des adresses e-mail et de facturation, des numéros de téléphone et des adresses IP. Aucune donnée de carte de crédit non cryptée n’a été exposée.

Des données plus sensibles, y compris les noms d’utilisateur et les mots de passe, ont également été volées, mais comme elles sont cryptées par défaut derrière un mot de passe principal qui n’est pas stocké sur les serveurs de LastPass, il est très peu probable qu’elles soient exposées.

D’autres acteurs malveillants pourraient toujours avoir accès à ces données sensibles si les utilisateurs rendent leurs mots de passe principaux plus faciles à deviner, comme s’ils sont utilisés pour se connecter à d’autres sites, ou s’ils sont la proie de stratagèmes de phishing ou d’ingénierie sociale. S’ils ont configuré leur mot de passe principal conformément aux meilleures pratiques de LastPass, qu’ils ont réitérées dans un article de blog divulguer la violation, il faudrait “des millions d’années” pour deviner.

Alors que les piratages deviennent de plus en plus courants, cet événement a mis en lumière deux points importants sur la cybercriminalité moderne. Premièrement, une violation initiale qui n’affecte pas les utilisateurs typiques pourrait en entraîner une autre, et deuxièmement, la décision de LastPass de ne jamais stocker les mots de passe principaux des utilisateurs signifie que les informations volées de l’entreprise ne peuvent pas pénétrer dans les données utilisateur chiffrées – du moins jusqu’à présent. comme nous le savons.