Torniamo ad occuparci di una tipologia di servizi molto noti e apprezzati dagli utenti, i gestori di password: al giorno d’oggi ognuno di noi possiede diversi account sulle più svariate piattaforme, doversi ricordare molte password complicate e differenti non è semplice, motivo per cui in molti decidono di affidarsi ai servizi sopra citati; servizi come LastPass.

Nel mese di agosto l’azienda, come diverse altre nel settore tecnologico, ha subito un attacco hacker durante il quale, secondo quanto dichiarato all’epoca, sarebbero stati rubate parti del codice sorgente e alcune informazioni tecniche proprietarie, ma non i dati relativi agli account dei clienti; ora si scopre che non è andata proprio così.

LastPass avvisa gli utenti, le loro informazioni e i loro dati sono nelle mani degli hacker

La vicenda è differente da quella risalente a circa un anno fa, in quella occasione infatti non fu propriamente il servizio LastPass ad essere stato bucato, quanto più alcuni indirizzi mail degli utenti compromessi su altre piattaforme; quella di oggi invece è una storia diversa, visto che gli hacker in seguito all’attacco condotto in agosto hanno avuto accesso ad una grande quantità di informazioni personali degli utenti, comprese password crittografate.

Nella giornata di ieri l’azienda ha pubblicato un aggiornamento riguardante l’attacco in questione, rivelando come dei malintenzionati abbiano ottenuto l’accesso tramite un account sviluppatore compromesso, avendo così completo accesso alle informazioni personali degli utenti e ai relativi metadati quali nomi di società, nomi di utenti finali, indirizzi di fatturazione, indirizzi e-mail, numeri di telefono e indirizzi IP utilizzati dai clienti per accedere ai servizi LastPass. Ma non solo, sembra anche che gli hacker siano riusciti a copiare un backup dei dati del caveau dei clienti che includeva dati non crittografati come URL di siti Web e campi di dati crittografati come nomi utente e password di siti Web, note sicure e dati compilati da moduli.

Karim Toubba, CEO di LastPass, ha comunque tentato di rassicurare gli utenti:

Questi campi crittografati rimangono protetti con la crittografia AES a 256 bit e possono essere decrittografati solo con una chiave di crittografia univoca derivata dalla password principale di ciascun utente utilizzando la nostra architettura Zero Knowledge. Come promemoria, la password principale non è mai nota a LastPass e non è memorizzata o gestita da LastPass. La crittografia e la decrittografia dei dati vengono eseguite solo sul client LastPass locale. Per ulteriori informazioni sulla nostra architettura Zero Knowledge e sugli algoritmi di crittografia, vedere qui.

Considerando che l’azienda non memorizza i dati della carta di credito per intero, e che quelli memorizzati sono comunque archiviati in un ambiente cloud diverso da quello che ha subito l’attacco, stando alle indagini condotte dalla società non vi sono prove che siano stati effettuati accessi ai dati crittografati delle carte di credito degli utenti.

La società ha inoltre dichiarato che gli hacker potrebbero utilizzare i dati rubati per hackerare un dipendente LastPass, in modo da ottenere credenziali e chiavi di sicurezza per accedere e decrittografare i volumi di archiviazione all’interno del servizio cloud dell’azienda.

Come mettersi al sicuro

Sempre nell’aggiornamento condiviso da LastPass, la società ha sottolineato le misure messe in atto per rafforzare la propria struttura in seguito alla violazione, queste includono la disattivazione dello sviluppo compromesso e la ricostruzione da zero, il mantenimento di un servizio di rilevamento e risposta dell’endpoint gestito e la rotazione di tutte le credenziali e i certificati pertinenti che potrebbero essere stati interessati.

Ben venga dunque lo sforzo dell’azienda, ma cosa possono fare gli utenti per tutelarsi maggiormente? Purtroppo non molto in realtà, se non ovviamente provvedere all’immediata modifica della propria Master Password, nonché di tutte le password memorizzate nel proprio caveau. Inoltre valgono sempre i consigli che ciclicamente vi diamo, serve sempre un po’ di malizia quando si ha a che fare con i propri dati, diffidate dunque e prestate maggiore attenzione ad eventuali e-mail di phishing, o a qualsiasi altro servizio che richieda la condivisione ingiustificata dei vostri dati personali, soprattutto dati di accesso e password.

La vicenda non è la prima del suo genere e non sarà certamente l’ultima, la mole di dati sottratta all’azienda è ingente, ma nonostante decifrare questi dati richieda grandi quantità di risorse, non è da escludere che possa accadere, anche considerando il metodo utilizzato per condurre l’attacco informatico e la conseguente intraprendenza dei malintenzionati.

Potrebbe anche interessarti: i migliori Password Manager a confronto, Lastpass vs 1Password vs Dahslane vs Keepass