Dans une mise à jour sur la fuite de novembre, l’entreprise GoTo – dont LastPass est une filiale – revient donner des nouvelles. Et elles ne sont pas bonnes.

• Les insuffisances de LastPass fustigées par des chercheurs en sécurité

Le PDG Paddy Srinivasan confirme que les données exfiltrées en novembre l’ont été depuis un service tiers de stockage dans le cloud, lié à plusieurs produits.

Les informations ainsi dérobées peuvent inclure les noms de comptes, les mots de passe hachés et salés, une « portion » des réglages MFA (authentification à facteurs multiples), ainsi que des réglages d’applications et des informations sur les licences. Plusieurs produits sont concernés. Les sauvegardes de Rescue et GoToMyPC n’ont pas été volées, mais il faut considérer que les réglages MFA l’ont été.

Ces informations ne sont pas directement liées à LastPass : elles en sont l’extension. L’entreprise n’avait communiqué jusqu’ici que sur le gestionnaire de mots de passe, et la situation était déjà mauvaise. La mise à jour confirme qu’elle a empiré, puisque d’autres produits de GoTo sont concernés dans les grandes largeurs.