En août, le gestionnaire de mot de passe expliquait s’être fait dérober du code source et des informations techniques via un compte développeur compromis. On en apprenait davantage en septembre, notamment que l’intrusion a duré quatre jours.
Une mise à jour du billet de blog annonce une mauvaise nouvelle : « Nous avons récemment détecté une activité inhabituelle au sein d’un service de stockage cloud tiers, qui est actuellement partagé par LastPass et sa filiale GoTo ».
Résultat des courses : « Nous avons déterminé qu'un tiers non autorisé, utilisant les informations obtenues lors de l'incident d'août 2022, a pu accéder à certaines informations de nos clients ».
L’enquête est en cours pour délimiter le périmètre de l’incident et les données consultées. LastPass rappelle que les mots de passe de ses clients sont chiffrés via un mot de passe maître qu’elle ne connait pas (politique Zero Knowledge). Ça reste un coup dur pour l’image de la société.