LastPass, attacco hacker: il password manager e l’incidente di sicurezza
LastPass, un famoso gestore di password, è stato vittima di un attacco hacker. Lo ha reso noto il 25 agosto scorso CEO dell’azienda in un post sul blog, spiegando agli utenti la dinamica dell’incidente e le conseguenze sui dati personali. L’azienda, in seguito all’accaduto, ha già implementato e messo in funzione delle misure di sicurezza aggiuntive.
Ormai milioni di persone sono passate alla gestione centralizzata e digitale delle password: è comoda, sicura e riduce al minimo l’errore umano. Anche se ci stiamo muovendo verso un mondo password-less, le parole chiave sono ancora dure a morire, e utilizzare un password manager come LastPass è sicuramente molto comodo.
LastPass, il gestore delle password
LastPass è uno dei gestori di password più usati al mondo: parliamo di più di 33 milioni di utenti attivi e 100 mila aziende. Negli ultimi anni sempre più persone hanno cominciato a usare questo e altri password manager per mantenere al sicuro le proprie password.
Questa “cassaforte” permette di memorizzare password e chiavi d’accesso a tutti i siti e piattaforme in cui effettuiamo il login. LastPass prevede la creazione di un master account che serve per accedere alla propria cassaforte. La master password non è recuperabile: se la si dimentica, si può dire addio a tutte le password salvate.
Il servizio, disponibile sia come estensione del browser che come app mobile, solleva l’utente dal peso di doversi ricordare tutte le password, col rischio di dimenticarsele o salvarle in maniera insicura. Ogni volta che si effettua un login, LastPass permette di salvare i dati di accesso (in maniera cifrata) per poterli inserire con un click in futuro. La crittografia è sempre locale, e le password, compresa la master, non sono mai inviate ai server dell’azienda.
LastPass offre anche un generatore di password, feature che permette di creare password complesse che vengono salvate in automatico nella cassaforte. Il servizio permette anche di memorizzare tessere sanitarie e associative, così da averle sottomano in qualsiasi momento.
LastPass vittima di un attacco hacker
Purtroppo anche LastPass è rimasta vittima di un attacco hacker reso noto pochi giorni fa. Il CEO dell’azienda, Karim Toubba, ha pubblicato una nota sul blog per informare gli utenti dell’incidente di sicurezza. Toubba ha voluto rassicurare gli abbonati specificando che non sembrano esserci state violazioni relative ai dati degli utenti.
Sembra infatti che l’hacker sia riuscito ad avere accesso “solo” a dati tecnici della piattaforma e a una porzione del codice sorgente. Alcuni controlli di sicurezza hanno individuato attività sospette circa due settimane fa; dalle analisi effettuato è emerso poi che, tramite un account dipendente, l’hacker abbia avuto libero accesso al codice del servizio. Ci sono comunque approfondimenti ancora in corso, ma pare che gli utenti possano stare tranquilli.
Due settimane fa abbiamo individuato strane attività in alcune porzioni dell’ambiente di sviluppo di LastPass. Dopo un’immediata indagine, non abbiamo trovato alcuna evidenza che l’incidente riguardasse accesso ai dati dei clienti o alle loro cassaforti. (…) In risposta all’incidente, abbiamo sviluppato delle misure di contenimento e mitigazione, e ingaggiato un’azienda di cybersicurezza e informatica forense. Mentre l’indagine prosegue, siamo giunti a uno stato di contenimento, abbiamo implementato nuove misure di sicurezza e migliorato quelle esistenti, e non abbiamo notato ulteriori attività non autorizzate.
Karim Toubba
L’azienda ha comunque introdotto misure di sicurezza aggiuntive dopo l’incidente. Anche se le password non sono memorizzate nei server aziendali, gli attaccanti potrebbero comunque provare a ottenere le email degli iscritti o alterare le funzionalità di LastPass.
Al momento agli utenti non è stata richiesta alcuna azione: non è necessario modificare o rigenerare le password dei propri account, né cambiare la master password. Per chi non l’avesse ancora attivata, è consigliabile introdurre la two-factor authentication, a prescindere dall’incidente degli scorsi giorni.