LastPass déclare qu’aucun mot de passe n’est compromis dans la plus grande peur de la protection

Appliquer LastPass ? Il est temps de mettre à jour votre mot de passe d’apprentissage.

Sarah Tew/CNET

Une alerte à la protection est survenue mardi soir pour les consommateurs de LastPass lorsque certains ont noté avoir reçu des e-mails de LastPass, les alertant que LastPass avait subi des tentatives non autorisées bloquées d’accéder à leurs comptes. Comme indiqué initialement par AppleInsider, certains utilisateurs de LastPass ont déclaré avoir été informés de diverses tentatives de connexion, travaillant avec des mots de passe appropriés dans de nombreux domaines. LastPass a confirmé que les alertes par e-mail étaient liées à une tentative d’attaque de bourrage d’informations d’identification – où des acteurs malveillants tentent de se connecter à plusieurs comptes avec des informations d’identification précédemment confirmées – mais a indiqué qu’aucun mot de passe de saisie n’avait été compromis.

Dans un communiqué, Dan DeMichele, vice-président de la gestion des produits ou des services de LastPass, a déclaré que les alertes de protection des e-mails avaient été envoyées à un sous-ensemble restreint d’utilisateurs de LastPass et avaient probablement été induites par erreur. DeMichele a mentionné que LastPass avait modifié ses méthodes d’alerte de sécurité et que le problème avait été résolu.

Recevez la newsletter CNET Now

Pimentez votre petite conversation avec les actualités, les produits et les opinions technologiques les plus en vogue. Livré en semaine.

« Nous avons rapidement travaillé pour enquêter sur cet exercice et pour le moment, nous n’avons aucune indication que des comptes LastPass ont été compromis par un tiers non autorisé à la suite de ce bourrage d’informations d’identification, et nous n’avons découvert aucun indicateur que les qualifications LastPass des utilisateurs ont été récoltées. par des logiciels malveillants, des extensions de navigateur malveillantes ou des campagnes de phishing », a déclaré DeMichele. “Même ainsi, par prudence, nous avons continué à enquêter dans le but de déterminer ce qui créait les e-mails d’information de sécurité automatisés à activer à partir de nos méthodes.”

Ce n’est tout simplement pas la première fois que LastPass – dont le code source est propriétaire, au lieu d’ouvrir l’offre – est confronté à une alerte à la sécurité ou à des critiques concernant ses procédures de confidentialité. Sa violation la plus notable a eu lieu en 2015 et est la seule violation célèbre sur la page Web officielle de LastPass. La même année, cependant, le responsable de la stabilité d’Asana, Sean Cassidy, a découvert une vulnérabilité de phishing causée par un bogue CSRF, et un document d’enquête a émergé détaillant un bogue CSRF supplémentaire et comment la possibilité de bookmarklet Safari de LastPass était vulnérable si les consommateurs étaient amenés à cliquer sur certaines parties. du site Web d’un attaquant.

Étudier beaucoup plus: Revue Bitwarden : Le meilleur gestionnaire de mots de passe gratuit pour 2021

En 2016, deux vulnérabilités avaient été observées. L’un a été découvert par le chercheur en protection Mathias Karlsson, l’autre par Tavis Ormandy de Google Task Zero, ce dernier ayant incité LastPass à exhorter les utilisateurs à mettre à jour leurs navigateurs. En 2017, le superviseur de mots de passe a corrigé une autre faille de sécurité principale dans son extension de navigateur – le talon d’Achille de la plupart des superviseurs de mots de passe – qui aurait pu permettre aux pirates de manipuler un compte LastPass. Cette étude préfigurait l’Université de York en 2019, qui a révélé une vulnérabilité différente qui permettrait aux applications de copie destructrices d’exploiter l’élément de remplissage automatique de LastPass. Ormandy est revenue à l’examen de LastPass plus tard en 2019, obtenant une troisième vulnérabilité d’extension de navigateur – que LastPass a à nouveau résolue – qui exposerait les informations de connexion que vous avez saisies sur un site Internet préalablement fréquenté.

En février 2021, LastPass était à nouveau sur la sellette en matière de confidentialité pour son utilisation de trackers Web.

En ce qui concerne la peur de la sécurité de mardi, LastPass a affirmé qu’il surveillerait l’entreprise pour toute action inhabituelle ou destructrice et continuerait à prendre tous les moyens nécessaires pour garantir la sécurité des détails de l’utilisateur.

Contrairement aux audits effectués par les concurrents RememBear, NordPass et Bitwarden open source, les audits indépendants de tiers-rencontres sociales de LastPass sont limités dans leur disponibilité publique. Et bien que LogMeIn conserve une collection d’audits pour plusieurs de ses propriétés, l’entreprise affirme que son audit supplémentaire de stabilité du cloud pour LastPass n’est proposé que si vous indiquez un accord de non-divulgation. Seuls les audits organisationnels simples sont traditionnellement accessibles au public, ainsi qu’une liste d’entreprises avec lesquelles LastPass est efficace.

À titre de mesure de protection préventive, les utilisateurs de LastPass devraient vraiment mettre à jour régulièrement leur mot de passe d’apprentissage et activer l’authentification multifacteur sur leurs comptes. Si vous avez réutilisé votre mot de passe de saisie LastPass pour d’autres gestionnaires de mots de passe, tels que Bitwarden ou 1Password, nous vous suggérons de mettre à jour les comptes de personnes aussi efficacement. Et n’oubliez pas : si vous utilisez un gestionnaire de mots de passe, ne réutilisez presque jamais le mot de passe de saisie pour un autre site Web, service ou application.

Étudiez beaucoup plus : Évaluation LastPass : un gestionnaire de mots de passe principal avec une proposition d’avantages changeants

Comment mettre à jour votre mot de passe de saisie LastPass

Le moyen le plus simple d’ajuster votre mot de passe d’apprentissage LastPass est de vous connecter à votre coffre-fort via le site principal de LastPass. En raison de la crise actuelle, il peut vous être demandé de confirmer votre identification lors de votre première tentative de connexion. Si tel est le cas, vous devrez peut-être confirmer votre connexion essayée par un courrier électronique envoyé à l’adresse impliqué avec votre compte LastPass. Vérifiez donc votre boîte de réception pour un courrier électronique LastPass si vous rencontrez des problèmes lors de la connexion.

Une fois connecté à votre coffre-fort, allez dans le meilleur coin de la page du site Web et, juste à côté de l’identifiant correspondant de votre personne LastPass, cliquez simplement sur la plus petite icône en forme de triangle inversé pour augmenter le menu de votre compte. Choisir Compte Configurations.

Un écran apparaîtra. Son onglet initial est intitulé Normal. Sous l’en-tête Identifiants de connexion, vous pouvez voir une ligne appelée Mot de passe principal. Juste pour le texte approprié des personnes, cliquez sur le bouton intitulé Changer le mot de passe principal.

À partir de là, vous pouvez être invité à valider votre mot de passe de saisie existant, à développer votre nouveau mot de passe principal et à créer un indice pour vous aider à le rappeler à long terme si nécessaire.

Pour vérifier si l’adresse e-mail associée à votre compte LastPass a été impliquée dans de nouvelles violations, vous pouvez accéder à Have I Been Pwned et entrer votre adresse e-mail dans la barre de recherche.

Lire plus: 4 mesures à prendre absolument pour sécuriser votre compte Gmail proprement dit