Le gestionnaire de mots de passe Blur expose les data de près de 2,4 millions d’utilisateursÀ cause d’une erreur de configuration d’instance AWS
C’est ce que laisse filtrer le communiqué de la société Abine inc. (qui édite le gestionnaire de mots de passe Blur) le dernier jour de l’année qui a tiré sa révérence.
Envoyé par Abine inc.
Nous avons récemment découvert que certaines informations sur les utilisateurs de Blur étaient potentiellement exposées. Nous avons immédiatement pris des mesures pour enquêter, réagir et travailler afin d'éviter que cela ne se reproduise.
Nous communiquons maintenant avec vous au sujet de ce qui s'est passé, des informations divulguées, des mesures que nous prenons et de celles que vous pouvez prendre, tout en prenant soin de ne pas compromettre nos systèmes ou processus de sécurité.
Ce qui s'est passé
Le jeudi 13 décembre 2018, nous avons appris que certaines informations sur les utilisateurs de Blur avaient été potentiellement exposés et avons immédiatement commencé à travailler pour assurer la sécurité de nos systèmes et de nos données, pour déterminer ce qui s'était passé et pour informer et aider nos utilisateurs. Nous avons également retenu les services d'une entreprise de sécurité de premier plan pour nous aider et nous avons avisé les responsables de l'application de la loi.
Quelles informations ont été divulguées
Un fichier contenant des informations sur les utilisateurs de Blur avant le 6 janvier 2018 a potentiellement été exposé. Ce fichier contenait les détails suivants sur les utilisateurs de Blur qui ont créé des comptes avant le 6 janvier 2018 :
- L'adresse courriel de chaque utilisateur;
- prénoms et noms de certains utilisateurs;
- quelques suggestions liées au mot de passe de certains utilisateurs, de notre ancien produit MaskMe.
- la dernière et l'avant-dernière adresse IP de chaque utilisateur utilisée pour se connecter à Blur;
- Le mot de passe chiffré de chaque utilisateur du gestionnaire Blur. Ces mots de passe sont hashés et chiffrés à l'aide de bcrypt avant d'être transmis à nos serveurs. La sortie du processus de chiffrement pour ces utilisateurs était potentiellement exposée, mais pas les mots de passe réels des utilisateurs.
- Le mot de passe chiffré de chaque utilisateur du gestionnaire Blur. Ces mots de passe sont hashés et chiffrés à l'aide de bcrypt avant d'être transmis à nos serveurs. La sortie du processus de chiffrement pour ces utilisateurs était potentiellement exposée, mais pas les mots de passe réels des utilisateurs.
Il est important de noter qu'il n'y a aucune preuve que les données les plus critiques de nos utilisateurs ont été divulguées et nous croyons qu'elles sont sécurisées. Rien n’indique que les noms d'utilisateur et les mots de passe stockés par nos utilisateurs dans Blur, les détails des cartes de crédit, les courriels masqués, les numéros de téléphone masqués et les numéros de cartes de crédit masqués ont été exposés. Rien n'indique que l'information sur les paiements des utilisateurs a été exposée.
Le cas Blur n’est pas isolé. À mi parcours de l’année 2015, l’entreprise de gestion des mots de passe en ligne (Lastpass) a annoncé la compromission de son réseau. Elle écrivait alors : « Nous souhaitons informer notre communauté que notre équipe a détecté et immédiatement bloqué une activité douteuse sur notre réseau. D’après nos investigations, nous n’avons aucune preuve que les données cryptées de nos utilisateurs ont été compromises, tout comme l’accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage et le hachage d’authentification ont été compromis. » Le communiqué de Lastpass parlait d’activité douteuse ce qui laisse penser à une attaque externe. À contrario, la note d’information d’Abine inc. relève quasiment de l’aveu de l’erreur de ses administrateurs. Là encore, Abine inc. n’est pas seule sur un îlot. Sur cette plateforme, les nouvelles de fuite de données occasionnées par des erreurs de configuration sont légion comme on peut le voir avec les cas SVR Tracking ou encore GoDaddy. D’ailleurs, même les USA ont connu l'une des plus grosses fuite des données à cause d’un service de stockage AWS non sécurisé.
De telles situations posent le problème de l’utilisation de systèmes propriétaires ou de service cloud pour la gestion des mots de passe. Ces choix surprennent quand on sait que l’offre en alternatives open source et auto-hébergeable est assez fournie de nos jours.
Source : Abine
Et vous ?
Qu’en pensez-vous ? Gestionnaire de mots de passe dans le cloud ou en auto-hébergement ... De quel bord êtes-vous ?Voir aussi :
Le gestionnaire de mots de passe LastPass piraté, l'entreprise suggère plusieurs mesures dont le changement du mot de passe maitre Des données chiffrées du service de gestion de mots de passe OneLogin ont été exposées pendant une intrusion malveillante
Vous avez lu gratuitement 12 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
.
