LastPass avverte che l’hacker potrebbe accedere ai caveau di password criptate cercando di scoprire le master password dei clienti.
Dopo essere stata violata per la seconda volta in altrettanti anni lo scorso agosto, l’applicazione di gestione delle password Lastpass ha annunciato giovedì 22 dicembre che l’ultima intrusione è stata molto più dannosa di quanto riportato inizialmente: in alcuni casi gli hacker sono riusciti a impossessarsi dei caveau di password degli utenti. Ciò significa che i ladri sono in possesso delle intere collezioni di dati personali criptati degli utenti, se non del metodo immediato per sbloccarli.
“Durante l’incidente del 2022 agosto non è stato effettuato alcun accesso ai dati dei clienti”, ha spiegato Karim Toubba, CEO di LastPass. Tuttavia, è stato prelevato parte del codice sorgente dell’applicazione e poi utilizzato per spearphing di un dipendente di Lastpass per fargli consegnare le proprie credenziali di accesso, quindi ha usato quelle chiavi per decifrare e copiare “alcuni volumi di archiviazione all’interno del servizio di archiviazione basato su cloud”.
Tra i dati criptati ottenuti dagli hacker c’erano informazioni di base sugli account dei clienti, come nomi di aziende, indirizzi di fatturazione, e-mail e IP e numeri di telefono, ha proseguito Toubba. “Questi campi criptati rimangono protetti dalla crittografia AES a 256 bit e possono essere decifrati solo con una chiave di crittografia unica derivata dalla password principale di ogni utente, grazie alla nostra architettura Zero Knowledge”, ha dichiarato Toubba. “Come promemoria, la password principale non è mai nota a LastPass e non viene memorizzata o mantenuta da LastPass”.
Ma vi fidate della parola dell’azienda? Io no. Sarà una seccatura, ma sostituire tutte le password dei siti esistenti con altre nuove, oltre a scegliere una nuova password principale, potrebbe rivelarsi necessario per riconquistare la sicurezza online. In alternativa, potete semplicemente dire a Lastpass di andare a farsi benedire e passare a 1Password o Bitwarden.