LastPass dit qu’il n’a pas divulgué votre mot de passe principal
Plusieurs utilisateurs de LastPass affirment qu’ils reçoivent des e-mails de la société concernant des tentatives de connexion non autorisées à l’aide de leurs mots de passe principaux. Heureusement, LastPass a répondu au problème et le gestionnaire de mots de passe dit qu’il n’a divulgué aucune information sur l’utilisateur.
Les rapports provenaient de Hacker News, où un utilisateur a déclaré : « LastPass a bloqué une tentative de connexion depuis le Brésil (ce n’était pas moi). Selon un e-mail que j’ai reçu de LastPass, cette connexion utilisait le mot de passe principal du compte LastPass. L’e-mail n’a pas l’air d’être une tentative d’hameçonnage.
Cela a conduit à la spéculation selon laquelle LastPass pourrait avoir divulgué des mots de passe principaux, car ces e-mails n’arrivent que si la personne non autorisée se connecte avec le mot de passe correct. Cependant, cela semblait peu probable, car LastPass indique clairement qu’il ne stocke pas les mots de passe principaux sur ses serveurs et que tout est fait localement.
Nous avons contacté LastPass pour commentaires, et un porte-parole a confirmé nos soupçons :
LastPass a enquêté sur des rapports récents de tentatives de connexion bloquées et a déterminé que l’activité est liée à une activité assez courante liée aux robots, dans laquelle un acteur malveillant ou malveillant tente d’accéder à des comptes d’utilisateurs (dans ce cas, LastPass) à l’aide d’adresses e-mail et de mots de passe obtenus de tiers. les violations des parties liées à d’autres services non affiliés. Il est important de noter que nous n’avons aucune indication que les comptes ont été accédés avec succès ou que le service LastPass a été autrement compromis par une partie non autorisée. Nous surveillons régulièrement ce type d’activité et continuerons de prendre des mesures conçues pour garantir que LastPass, ses utilisateurs et leurs données restent protégés et sécurisés.
Il semble que LastPass ait fait exactement ce qu’il est censé faire dans cette situation en bloquant une tentative de connexion qui semblait suspecte.
Il semble que les utilisateurs qui se sont fait voler leurs mots de passe auraient pu être victimes d’un enregistreur de frappe ou d’une autre forme d’attaque tierce. Leurs informations pourraient également avoir été divulguées dans une attaque sans rapport où ils utilisent la même adresse e-mail et le même mot de passe.
Quoi qu’il en soit, si vous êtes un utilisateur de LastPass (ou un utilisateur de tout outil sensible comme un gestionnaire de mots de passe), c’est une bonne idée d’activer l’authentification à deux facteurs pour vous assurer que vous êtes à l’abri de toute personne qui accède sans autorisation à votre compte. Ce n’est pas non plus une mauvaise idée de changer votre mot de passe si vous craignez qu’il soit compromis pour quelque raison que ce soit.
EN RELATION: Qu’est-ce que l’authentification à deux facteurs et pourquoi en ai-je besoin ?