LastPass informe ses utilisateurs d’une nouvelle fuite de données

 (9to5mac.com)
1 points par GN⁺ 5 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Les utilisateurs de LastPass ont été informés que des données personnelles et des données de tickets de support ont été exposées à la suite d’une compromission de Klue, un partenaire externe
  • L’étendue de l’accès lors de cet incident est limitée aux coordonnées professionnelles standard, aux données CRM, aux données de tickets de support et aux données commerciales ; les coffres-forts de mots de passe n’ont pas été affectés
  • Les éléments exposés comprennent le nom des clients, leur numéro de téléphone, leur adresse e-mail et leur adresse physique, et la plateforme Klue est intégrée aux systèmes Salesforce et Gong
  • Après avoir pris connaissance de l’incident, LastPass a révoqué l’accès de ses employés à Klue, remplacé les jetons API exposés, notifié les forces de l’ordre et ouvert une enquête avec Klue et Salesforce
  • Les coordonnées divulguées pouvant être exploitées pour des attaques de phishing et d’ingénierie sociale, les clients et les entreprises doivent vérifier les indicateurs d’attaque partagés

Compromission de Klue et réponse de LastPass

  • LastPass a envoyé un e-mail aux utilisateurs concernés à la suite de l’impact d’une compromission survenue chez la société d’étude de marché Klue
  • Les hackers ont pu accéder à des informations clients et à des données de tickets de support via cette compromission
  • Les informations consultées sont limitées au périmètre suivant
    • nom du client, numéro de téléphone, adresse e-mail, adresse physique
    • données de gestion de la relation client (CRM)
    • données de tickets de support
    • données commerciales
  • Lors de cet incident, les coffres-forts de mots de passe de LastPass n’ont pas été affectés
  • La plateforme Klue est intégrée aux systèmes Salesforce et Gong
  • En réponse à l’incident, LastPass a lancé des mesures de blocage d’accès et une procédure d’enquête
    • révocation des droits d’accès des employés à Klue
    • remplacement des jetons API exposés
    • notification aux forces de l’ordre
    • enquête sur l’étendue de l’incident en contactant Klue et Salesforce

Indicateurs d’attaque et incidents de sécurité passés

  • Les clients doivent se méfier des attaques de phishing ou des tentatives d’ingénierie sociale exploitant les informations divulguées
  • Des indicateurs liés aux attaquants ont été partagés afin que les entreprises puissent rechercher une activité associée dans leurs systèmes
    • Adresse IP :
      • 138.226.246[.]94
      • 94.154.32[.]160
      • 159.183.215[.]61
      • 159.183.181[.]239
    • Domaines d’envoi d’e-mails :
      • baccarat.com[.]au
      • robinskitchen.com[.]au
      • house.com[.]au
  • LastPass a déjà connu plusieurs incidents de sécurité par le passé
    • En 2015, des adresses e-mail de comptes, des indices de mot de passe, des hachages d’authentification et des sels de chiffrement ont été dérobés, mais aucune donnée de coffre-fort chiffrée n’avait été consultée
    • En 2022, des attaquants ont compromis un compte développeur, volé du code source et des informations techniques, puis utilisé ces éléments pour accéder à des sauvegardes cloud contenant des dossiers clients et des coffres-forts de mots de passe chiffrés
    • Ce même incident de 2022 comprenait aussi des informations non chiffrées comme les noms, adresses de facturation, adresses e-mail et numéros de téléphone

À lire aussi

1 commentaires

 
GN⁺ 5 시간 전
Commentaires Hacker News

  • Je ne sais plus qui peut sérieusement faire confiance à LastPass désormais
    Il y a quelques années, je travaillais dans une entreprise qui gérait des données bancaires, et elle continuait à utiliser LastPass juste après le précédent incident de sécurité de LastPass, sans aucun projet de migration

    • Beaucoup de personnes et d’organisations utilisent les produits de sécurité non pas pour la sécurité, mais pour le théâtre de la sécurité
      Beaucoup de gens, y compris parmi les responsables sécurité, n’entendront probablement même pas parler de cette intrusion, donc pour eux LastPass « fonctionne » toujours très bien
    • Si les mots de passe ne sont toujours pas connus, alors cette « intrusion » n’est pas un échec du point de vue de l’utilisateur final
      Si le mot de passe maître du coffre reste sûr, et que le seul moyen d’accéder au coffre reste ce mot de passe maître, alors le produit remplit toujours la fonction attendue par l’utilisateur final
      Le mot « intrusion » ne veut rien dire sans préciser les conditions
    • J’ai fait beaucoup de conseil en sécurité pour des centaines d’entreprises, et celles qui prenaient réellement la sécurité au sérieux étaient celles qui avaient déjà subi une intrusion
      Tant que la direction et le conseil d’administration n’en voient pas directement le coût, le simple fait d’en lire parler ne suffit jamais à débloquer le budget nécessaire à un programme de sécurité
      Ça ne veut pas dire que je recommanderais LastPass pour autant, mais je ne l’exclurais pas totalement pour cette seule raison
    • Je ne comprends pas comment on peut faire confiance à un tiers pour lui confier tous ses mots de passe et toutes ses clés de chiffrement
      Configurer KeePassXC est très simple

  • Il y a bien plus d’entreprises touchées. En voici quelques-unes listées ci-dessous

    "Klue has not said how many of its hundreds of customers are affected. Several companies have come forward to confirm they had data stolen during the attack, including Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social, and Tanium."
    Cybercrime group Icarus took credit for the breach, saying on its leak site that it will publish the stolen data on Monday if the company does not pay the hackers’ ransom."
    https://techcrunch.com/2026/06/22/klue-hack-results-in-data-...

  • Je ne comprends vraiment pas pourquoi LastPass transmet des informations détaillées sur ses clients à une société d’études de marché
    De telles données auraient dû être entièrement anonymisées, sans noms, sans adresses précises, etc.
    Pour les personnes qui cherchent une recommandation, j’utilise KeepassXC et Keepass2Android. C’est open source, ça utilise une base de données locale, et on peut choisir soi-même de synchroniser ou non. Moi, je synchronise avec Own cloud

    • J’utilise pwsafe depuis des années
      C’est aussi un logiciel libre et open source, avec un coffre uniquement local. Pas besoin de dépendre d’un service cloud qui pourrait perdre les données par incompétence
      On peut éventuellement stocker le coffre dans Dropbox ou iCloud Drive, mais je ne vois pas vraiment pourquoi il faudrait le faire

    • Any such data should have been fully anonymized: no names, no specific addresses, etc..
      Pourquoi transmettre ce type de données, au départ ?

  • https://blog.lastpass.com/posts/klue-supply-chain-incident-a...

    The information accessed was limited to standard business contact information and related customer relationship management (CRM) data, including customer names, phone numbers, email addresses, and physical addresses, as well as support case data and sales-related data.

  • À certains égards, cette méthode est peut-être encore pire que d’utiliser LastPass, mais depuis quelques années, j’ai pris l’habitude de générer puis oublier 90 % de mes mots de passe
    Je ne garde que les 10 % restants dans un gestionnaire de mots de passe. Si le service n’est pas très important, je clique simplement sur « mot de passe oublié » à chaque connexion pour en créer un nouveau

    • Cette méthode fonctionne tant qu’il n’y a pas de double authentification sur le compte
      Dans ma dernière appli de side project, les utilisateurs pouvaient se connecter uniquement avec un mot de passe à usage unique envoyé par e-mail
      Il y a des inconvénients de sécurité, comme le phishing qui pousse à saisir ce mot de passe à usage unique sur un faux site, mais comme l’application ne stocke rien de sensible, je ne considère pas ça comme un gros risque de sécurité
    • Il m’est déjà arrivé d’avoir des problèmes parce que je n’avais plus accès à un ancien numéro de téléphone, alors que les SMS de double authentification continuaient d’y être envoyés
    • C’est pour ça que beaucoup de services passent aux liens magiques envoyés par e-mail pour la connexion
      Au final, sur beaucoup de services, prendre le contrôle de l’e-mail revient de fait à prendre le contrôle de la connexion

  • J’utilise Enpass depuis des années, parce que j’avais acheté une licence à vie à bas prix
    Enpass n’héberge pas lui-même un service cloud pour synchroniser les mots de passe : l’utilisateur s’authentifie auprès de son propre stockage cloud et la synchronisation se fait là-bas. Moi, j’utilise Google Drive
    Je trouve cette approche meilleure. Si quelqu’un de malveillant entre dans mon compte Google, de toute façon c’est terminé, et ce serait probablement pire que s’il entrait seulement dans mon gestionnaire de mots de passe
    En plus, ça évite de créer en un point central un énorme tas de données extrêmement rentable à compromettre. Pour voler tous les mots de passe d’Enpass, il faudrait pirater Google Drive, Dropbox, iCloud, etc., puis retrouver manuellement les fichiers

    • En quoi est-ce différent de KeePass, par exemple ?

  • C’est amusant de voir tout le monde tomber collectivement sur LastPass à cause d’une nouvelle intrusion et dire qu’il est totalement irresponsable de partager des données clients avec des tiers, mais dès qu’on regarde un instant ce qui s’est réellement passé, on voit que le récit qu’on se fait et la réalité sont assez différents
    Klue est l’un des nombreux services de gestion de la relation client utilisés par les équipes commerciales. Il faut bien lui transmettre les e-mails de contact des clients, les fiches clients comme celles de la compta, etc., pour que Klue puisse fournir des choses comme des « informations de marché » sur ces clients
    Si vous allez voir du côté des équipes commerciales et de tous les outils divers qu’elles ont branchés à leur système, vous trouverez probablement bien d’autres exemples du même genre
    Que ce soit une bonne idée ou non est une autre question — personnellement je déteste fortement ça — mais c’est ainsi que travaillent les équipes commerciales aujourd’hui. Si vous essayez de leur retirer ça, vous vous battez contre toute l’organisation commerciale
    Ce qui me surprend davantage, c’est que ce type d’intrusion n’arrive pas encore plus souvent
    La vraie base de données de mots de passe de LastPass n’est pas affectée
    Je n’ai aucun lien avec aucune des organisations concernées

    • I am more surprised that these breaches don't happen more often.
      En réalité, elles se produisent souvent

  • Il est peut-être temps que LastPass se rebaptise en First0wned

  • Si une entreprise a continué à utiliser LastPass, ou l’a même adopté, après la fuite des coffres, elle ne s’inquiétera probablement pas du tout de cet incident-ci, puisque ce n’est « que » des données CRM
    J’ai une certaine empathie pour les entreprises qui continuent à utiliser LastPass. Quand j’ai dû faire migrer une organisation de LastPass vers 1Password, c’était un énorme chantier et vraiment pénible
    En revanche, j’ai du mal à avoir de l’empathie pour ceux qui ont choisi LastPass après 2022

    • Ce qui n’est pas très grave ici, c’est le fait que les données aient peu de valeur critique
      Le vrai sujet, c’est que LastPass aurait dû faire mieux, même pour quelque chose de mineur
      Une entreprise qui stocke des mots de passe devrait faire mieux que ça pour être digne de confiance

  • J’ai abandonné LastPass il y a longtemps pour passer à BitWarden, mais aujourd’hui j’utilise surtout l’app Passwords d’Apple