LastPass LastPass era uno dei migliori gestori di password, ma più recentemente, la sua reputazione è stata colpita da molteplici violazioni della sicurezza. Ora la società ha confermato che l’ultimo è stato veramente cattivo.
LastPass ha subito una violazione della sicurezza ad agosto, quando un hacker ha ottenuto l’accesso agli ambienti di sviluppo ed è stato in grado di rubare il codice sorgente e altre informazioni proprietarie. Più tardi a dicembre, LastPass confermato un hacker è stato in grado di utilizzare quei dati per “ottenere l’accesso a determinati elementi delle informazioni dei nostri clienti”. L’azienda non ha chiarito cosa significassero “alcuni elementi”, fino ad ora.
LastPass ha appena rivelato l’intera portata dell’attacco, a seguito di una “indagine in corso”. L’hacker è stato in grado di accedere a un ambiente di archiviazione cloud utilizzando i dati della violazione della sicurezza di agosto, che includevano “informazioni di base sull’account del cliente e metadati correlati tra cui nomi di società, nomi di utenti finali, indirizzi di fatturazione, indirizzi e-mail, numeri di telefono e indirizzi IP da cui i clienti accedevano al servizio LastPass.” Apparentemente non è stato possibile accedere ai dati della carta di credito.
La parte peggiore è che l’hacker ha copiato con successo i dati del vault da LastPass, sebbene la società lo abbia definito “un backup”, quindi non è chiaro quanti anni abbiano i dati. La società afferma che le password effettive sono ancora sicure, poiché utilizzano la crittografia AES a 256 bit basata sulla password principale di una persona. Tuttavia, se è possibile ottenere la password principale di qualcuno (ad esempio, con a e-mail di phishing imitando una pagina di accesso di LastPass), potrebbe essere possibile sbloccare i dati crittografati e vedere tutte le password di qualcuno.
Anche senza la password principale, i dati trapelati potrebbero essere dannosi per alcuni utenti LastPass. I nomi e gli indirizzi di fatturazione possono essere utilizzati in più attacchi e gli indirizzi dei siti Web per le password memorizzate non sono stati crittografati. Qualcuno con i dati trapelati sarebbe in grado di vedere tutti i siti Web associati alle password, quindi utilizzarli per un phishing più mirato. Ad esempio, se qualcuno ha una password per il sito Web di Bank of America, potrebbe avere un account lì e sarebbe un ottimo bersaglio per le e-mail di phishing che sembrano avvisi di account dalla banca.
Questo è quasi il peggior incidente di sicurezza possibile immaginabile per un gestore di password come LastPass: quasi tutti i dati in possesso dell’azienda sono stati copiati. La crittografia lato client ha salvato ogni password dal furto, ma come accennato in precedenza, basta una password principale debole o un attacco di phishing per sbloccare quei dati per un account. Che, insieme a un scarso track record di risposta ai problemi di sicurezza e molte altre violazioni recenti, è una buona giustificazione per smettere di usare LastPass.
Se usi LastPass, dovresti cambiare la tua password principale il prima possibile ed essere alla ricerca di e-mail dall’aspetto impreciso per le prossime settimane e mesi. Potresti anche prendere in considerazione la possibilità di cambiare ogni password memorizzata in LastPass: gli hacker ora (probabilmente) hanno anche quei dati, semplicemente non possono sbloccarli in questo momento.
Fonte: LastPass