Le mois dernier, LastPass a admis qu’une partie non autorisée avait pu violer le système et avait accès à des informations sensibles pendant environ quatre jours. Le PDG de LastPass a déclaré que la société travaillait en étroite collaboration avec des experts en sécurité de Mandiant et que l’enquête a révélé qu’aucune donnée utilisateur n’avait été compromise.
L’attaquant, cependant, a pu accéder au code source du gestionnaire de mots de passe de LastPass ainsi qu’à des informations techniques. L’accès était limité à l’environnement de développement du service qui n’a rien à voir avec les données des utilisateurs. Sans oublier que LastPass lui-même n’a pas accès aux mots de passe principaux des utilisateurs, qui à leur tour sont nécessaires pour déchiffrer les données.
L’enquête suggère que l’attaquant a utilisé le point de terminaison d’un développeur et s’est fait passer pour celui-ci après s’être authentifié avec succès à l’aide de l’authentification multifacteur.