Qualche settimana fa, LastPass aveva ammesso di aver subito un breach: oggi la società ammette che gli hacker hanno avuto accesso a informazioni personali e che sono state rubate le “cassaforti” di password (che tuttavia restano cifrate senza la vostra Master Password). Dopo aver rubato dei dati tecnici dalla piattaforma, gli hacker hanno attaccato un dipendente e ottenuto le credenziali per rubare dati criptati.
LastPass, rubate informazioni personali e “cassaforti” di password
Il CEO di LastPass, Karim Toubba, ha spiegato sul blog aziendale in maniera dettagliata come gli hacker abbiamo colpito il sistema di sicurezza. Il primo attacco, quello riportato lo scorso novembre da LastPass, avrebbe lasciato inviolati i dati utenti e rubato invece informazioni tecniche sul servizio e codice sorgente.
Armati di queste informazioni, gli hacker avrebbero poi preso di mira un dipendente, ottenendo le sue credenziali e password. Che hanno utilizzato per avere accesse alle informazioni salvate nel cloud sui clienti e le hanno poi decriptate.
Secondo quanto riporta Toubba, questo ha dato accesso a “nomi utente, indirizzi di fatturazione, indirizzi email, numeri di telefono, indirizzi IP da cui hanno effettuato l’accesso a LastPass”. Inoltre, hanno ottenuto informazioni cifrate su “nomi dei siti e password, note sicure e campi di compilazione automatica”.
La buona notizia è che le informazioni sulle password restano cifrate: serve la vostra Master Password (quella di accesso al servizio) per sbloccarle. La brutta notizia è che gli hacker hanno tempo per effettuare attacchi di forza bruta oppure di phishing per convincervi a dar loro la password: prestate particolare attenzione.
LastPass specifica che per decifrare le vostre Master Password, volutamente difficili e di almeno 12 caratteri, ci vorrebbero milioni di anni di tentativi con la forza bruta. Quindi prestando attenzione al phishing dovreste stare al sicuro. L’azienda ha cambiato la propria infrastruttura per permettere che questi attacchi non si ripetano in futuro.
- Giuliani, Luca (Autore)