La dernire violation de LastPass aurait pu tre stoppe par une mise jour de Plex vieille de trois ans La socit a publi Plex Media Server 1.19.3 pour corriger cette faille

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



LastPass, qui tait l’un des meilleurs gestionnaires de mots de passe du march, a perdu sa rputation aprs avoir subi non pas une, mais deux violations massives de donnes l’anne dernire. Nous avons appris plus de dtails sur le deuxime incident la semaine dernire : une partie malveillante a install un enregistreur de frappe sur l’ordinateur personnel d’un ingnieur senior grce un exploit dans Plex, le service de cloud personnel pour le stockage et la diffusion de films, et a pu ainsi pntrer dans les caches de l’entreprise. Mais il s’avre que l’ingnieur avait galement un rle important jouer dans cet chec majeur.

Plex a rvl que l’exploit en question a profit d’une vulnrabilit qui a t divulgue le 7 mai 2020. L’entreprise raconte que, pour une raison quelconque, l’employ de LastPass n’a jamais mis jour son client pour appliquer le correctif.

La faille permettait ceux qui avaient accs au compte Plex d’un administrateur de serveur de tlcharger un fichier malveillant via la fonction Camera Upload et, en superposant les emplacements du rpertoire de donnes du serveur avec une bibliothque qui autorisait les Camera Uploads, de faire en sorte que le serveur multimdia l’excute.

Le jour mme, la socit a publi la version 1.19.3 de Plex Media Server pour combler cette faille.

« Pour rfrence, la version qui corrigeait cet exploit datait d’environ 75 versions« , a dclar un porte-parole de LastPass.

Ce qui est flagrant pour nous, c’est que la chane d’vnements qui a conduit cette violation a commenc ds le sommet : LastPass a permis cet employ senior d’accder des surfaces de travail privilgies par le biais de son ordinateur personnel, ouvrant ainsi la possibilit quelqu’un d’accder au compte Plex de cet employ, d’excuter un exploit corrig depuis longtemps qui a fonctionn grce la ngligence de l’employ susmentionn, et d’obtenir un accs illimit ces surfaces de travail partir de l.

Chaque tape de cette squence a t mise en place par une dcision qui a pu tre justifie pour une raison ou une autre l’poque. Mais au vu de l’volution des choses, LastPass aura besoin d’une plus grande pelle si elle veut se sortir de ce trou.

Source : Plex

Et vous ?

Quel est votre avis sur le sujet ?

Selon vous, est-il possible de se passer des gestionnaires de mots de passe tels que LastPass ?

Que pensez-vous des performances de LastPass par rapport aux autres outils de gestion de mots de passe (BitWarden, KeePass, etc.) ?

Voir aussi :

Les spcialistes de la cyberscurit s’attaquent au communiqu de LastPass suite une violation de scurit, leur dclaration est pleine d’omissions, de demi-vrits et de mensonges honts

LastPass affirme que le piratage de l’ordinateur d’un ingnieur DevOps a conduit la brche dans la scurit en 2022, et aurait rendu difficile la dtection de l’activit de l’acteur de la menace

Faut il abandonner Lastpass pour d’autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui, selon des experts qui voquent sa longue histoire d’incomptence et de ngligence



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.