Il 22 dicembre, la società di gestione delle password LastPass ha aggiornato i propri clienti e rilasciato una dichiarazione che "un hacker ha copiato informazioni da un backup che conteneva informazioni di base sugli account dei clienti e i relativi metadati, tra cui nomi di aziende, nomi di utenti finali, indirizzi di fatturazione, indirizzi email, numeri di telefono e indirizzi di fatturazione e indirizzi IP da cui i clienti accedevano al servizio LastPass".

La violazione si riferisce a una precedente compromissione avvenuta in agosto, quando l'autore è stato in grado di rubare il codice sorgente e alcune credenziali/dati tecnici che sono stati poi utilizzati per compromettere ulteriormente un servizio di cloud storage.
Secondo quanto riferito, il servizio cloud memorizzava le seguenti informazioni clienti:

  • Nomi
  • Indirizzi di fatturazione
  • Indirizzi e-mail
  • Numeri di telefono
  • Indirizzi IP
  • URL del sito web
  • Nomi utente del sito web (crittografati)
  • Password (crittografate)
  • Note sicure (crittografate)
  • Dati dei moduli (crittografati)

LastPass ci tiene a precisare che:
"Questi campi crittografati rimangono protetti con una crittografia AES a 256-bit e possono essere decifrati solo con una chiave di crittografia unica derivata dalla password principale di ogni utente, utilizzando la nostra architettura Zero Knowledge. Come promemoria, la password principale non è mai nota a LastPass e non viene memorizzata o gestita da LastPass.
La crittografia e la decrittografia dei dati vengono effettuate
solo sul client LastPass locale
".

La compromissione di LastPass è altamente problematica in quanto la piattaforma per gestire le password è utilizzata da oltre 25 milioni di persone, e le loro password ora sono nelle mani di sconosciuti, anche se in formato criptato.

Poiché la decodifica di un vault di LastPass viene effettuata lato client, utilizzando la password principale dell'utente, se un account debba essere considerato compromesso dipende semplicemente dalla forza di quella password se può essere indovinata, forzata brutalmente o derivata utilizzando le credenziali precedentemente trapelate.

Per questo motivo, suggeriamo che qualsiasi password memorizzate su LastPass dovrebbero essere considerate compromesse e che tali password vengano reimpostate e mai più riutilizzate.

Inoltre, ricordate sempre di usare password complesse e lunghe, soprattutto la vostra password "principale", e di utilizzare metodi MFA come le applicazioni di autenticazione a corrispondenza di modello/numero o le applicazioni hardware.

Potrebbe interessarti anche: