Il gestore di password LastPass è stato colpito da una fuga di dati

Si tratta di uno dei principali servizi – super sensibile – che permette di proteggere le proprie password su Internet per ritrovarle velocemente, da uno smartphone o da un computer: il gestore di password di LastPass ha subito un grave data breach, ha annunciato l’azienda in una notaGiovedì 22 dicembre è stato pubblicato un nuovo post sul blog È stato firmato dal suo presidente e amministratore delegato, Karim Touba.

La prima violazione, segnalata ad agosto, ha consentito agli hacker di recuperare informazioni tecniche. Grazie a loro, all’inizio di dicembre, sono stati in grado di prendere di mira uno dei dipendenti dell’azienda per recuperare un nome utente, una password e una chiave di crittografia che apra l’accesso ai backup del computer di LastPass, che sono ospitati da Subprocess. Inizialmente Rassicurantel’azienda americana ha cambiato tono e ha consigliato ai suoi utenti di fare attenzione.

Gli hacker, infatti, hanno risucchiato una parte di questi backup, che contengono informazioni fornite dai clienti. Tra i dati personali recuperati figurano cognome, nome, indirizzo, telefono, email, indirizzo IP – numero identificativo del dispositivo utilizzato per connettersi a Internet – ed eventualmente ragione sociale. Sfortunatamente, LastPass non dice quanti utenti sono stati interessati da questa fuga di notizie.

Questi dati sono preziosi per gli hacker perché possono facilitare gli schemi di phishing (phishing) mira a estrarre informazioni più sensibili dai client LastPass. A tal proposito, l’azienda avverte i propri utenti che non li contatterà mai per chiedere loro la password principale, che utilizzano per sbloccare l’app LastPass. Inoltre, non chiamerà, e-mail o invierà ai propri clienti un SMS chiedendo loro di fare clic su un collegamento che conferma le loro informazioni personali.

Le password rimangono crittografate

Secondo l’azienda americana, sarebbero state risucchiate anche le password dei suoi clienti. Tuttavia, a differenza delle informazioni personali sopra menzionate, questi dati rimangono protetti da una forte crittografia, AES 256-bit (per Standard di crittografia avanzato standard di crittografia avanzato). LastPass afferma che sarà molto difficile per gli hacker infrangere la barriera AES per ottenere l’accesso a un elenco di password memorizzate dai propri clienti. La società, supportata in questa indagine dalla società di sicurezza informatica Mandiant, avverte che alcune delle società che utilizzano i suoi servizi scelgono un altro schema di crittografia per i loro account LastPass, che probabilmente sarà meno forte.

Per poter aprire questo cifrario e accedere all’elenco delle password dei clienti, è necessario conoscere le loro password principali. Tuttavia, secondo il CEO di LastPass, gli hacker non sono stati in grado di recuperarlo perché solo i clienti sarebbero a conoscenza di questo prezioso sesamo, una misura di sicurezza nota agli esperti come “ Architettura a conoscenza zero ».

Tuttavia, gli hacker possono trovare una password particolarmente sensibile in vari modi, in particolare applicando il metodo della forza bruta, che consiste nel provare tutte le possibili combinazioni. Secondo LastPass, è la forza di una password principale che determina la sua resistenza agli attacchi. Tuttavia, alcuni utenti hanno scelto che sia più breve e meno complesso di altri. La sicurezza della password principale può anche essere compromessa se i suoi clienti utilizzano una password che è già stata utilizzata altrove. In tal caso, potrebbe essere stato violato da un altro team di hacker e poi venduto agli autori dell’attacco LastPass.

La società consiglia agli utenti che mettono in dubbio la sicurezza della propria password principale di cambiarla e quindi di sostituire tutte le password archiviate nella memoria crittografata del proprio account. Un processo che può richiedere molte ore, a seconda del numero di password memorizzate dagli utenti.