LastPass est toujours aux prises avec la violation de données de l’année dernière, qui a révélé les informations personnelles et les mots de passe de certains clients. Mais de nouvelles informations dans cette histoire nous rappellent pourquoi tous les utilisateurs d’ordinateurs et les entreprises devraient prendre la sécurité au sérieux.
Le 28 février, LastPass a finalement expliqué comment la violation de données s’est produite. Un pirate informatique a initialement ciblé un « logiciel multimédia tiers vulnérable » sur l’ordinateur personnel d’un ingénieur DevOps et a installé un enregistreur de frappe pour récupérer le mot de passe principal de l’employé. Ce DevOp est l’un des quatre employés de LastPass qui peuvent accéder au coffre-fort de l’entreprise, il est donc prudent de supposer qu’il s’agit d’une attaque ciblée.
Oui, l’employé visé par ce piratage possédait un ordinateur portable d’entreprise (qui a depuis été remplacé). Certains rapports indiquent que l’employé a utilisé son ordinateur personnel pour accéder aux ressources de travail, bien que LastPass n’ait pas confirmé cela.
Voici la chose intéressante; le « logiciel multimédia tiers vulnérable » exploité dans ce piratage était Plex. Les premières nouvelles sur l’implication de Plex sont venues avec l’aimable autorisation de leakers (via Ars Technica), mais Plex l’a confirmé plus tard le 1er mars.
Quand il Ars Technica le rapport est sorti, Plex a déclaré qu’il n’avait pas été contacté par LastPass. Mais les choses ont changé : LastPass indique à Plex que la vulnérabilité exploitée était CVE-2020-5741. plex dit vérifier geek que cet exploit a été révélé et corrigé en mai 2020, au moins 2,5 ans avant la violation de LastPass.
De toute évidence, l’employé LastPass ciblé n’a pas mis à jour son serveur Plex depuis au moins deux ans. Il y a eu près de 75 mises à jour de Plex depuis que l’exploit CVE-2020-5741 a été corrigé. Il s’agit d’une violation grave de la sécurité personnelle et de l’entreprise ; comme le souligne Plex, les notifications de mise à jour sont fournies « via l’interface utilisateur d’administration » et les mises à jour automatiques sont assez courantes.
Mais d’une certaine manière, cet échec est quelque peu compréhensible. Certaines mises à jour de Plex doivent être effectuées manuellement et, comme tout utilisateur de Plex le sait, ces mises à jour peuvent introduire des problèmes ou vous obliger à refaire certaines des métadonnées de votre médiathèque. L’employé de LastPass ciblé par ce piratage n’a peut-être pas réalisé qu’une mise à jour doit être installée manuellement (bien qu’il soit possible qu’il ait intentionnellement empêché la mise à jour).
Prenez cela comme une leçon; Toute partie d’un réseau peut compromettre votre sécurité, ou même la sécurité des autres. Vous devez maintenir les produits à jour et si un appareil de votre maison souffre d’une vulnérabilité non corrigée, vous devez le mettre hors ligne. (En outre, Plex doit améliorer son processus de mise à jour. Je le sais par expérience.)
Malheureusement, les entreprises technologiques ne savent pas comment montrer l’exemple. LastPass a la responsabilité ici et a les antécédents pour montrer qu’il ne peut pas prendre la sécurité au sérieux. Nous avons contacté LastPass pour un commentaire et attendons une réponse.
Source : Last Pass, Plex