LastPass ha rilasciato una lunga dichiarazione sulla violazione subita alcuni mesi fa. In poche parole, le cose non vanno bene.
Alcune settimane fa, LastPass ha rilasciato una dichiarazione sul suo blog, condividendo ciò che aveva fatto subito una violazione. All'epoca, Karim Toubba, CEO di LastPass, non entrò in tutti i dettagli, condividendo solo che si era verificato un incidente di sicurezza con un servizio di archiviazione cloud di terze parti utilizzato da LastPass. Ora l'azienda fornisce un resoconto dettagliato di quanto accaduto e non va bene.
Toubba ha utilizzato ancora una volta il blog dell'azienda per condividere ciò che ha scoperto riguardo all'incidente. Secondo il post, in questo attacco non sono stati colpiti i dati dei clienti, ma sono stati rubati "il codice sorgente e le informazioni tecniche". Purtroppo, con queste informazioni, l'aggressore ha preso di mira un dipendente e ha ottenuto credenziali e chiavi che sono state utilizzate per decrittografare e accedere alle informazioni sul servizio di archiviazione basato su cloud.
Da qui l'aggressore è riuscito ad accedere alle informazioni dell'account come "nomi degli utenti finali, indirizzi di fatturazione, indirizzi e-mail, numeri di telefono e indirizzi IP da cui provengono". i clienti stavano accedendo al servizio LastPass." Inoltre, sono stati ottenuti i dati del deposito dei clienti, che contenevano "nomi utente e password di siti Web crittografati, note sicure e dati compilati nei moduli."
Allora ti starai chiedendo: cosa significa esattamente tutto questo?
Bene, ci sono alcune buone notizie e cattive notizie. Per quanto riguarda la buona notizia, i dati raccolti sono stati crittografati e richiedono la password principale dell'utente per essere decrittografati. La cattiva notizia è che se l’aggressore ha tempo, può provare tutte le password necessarie per decrittografare i dati. LastPass riconosce che questa è una possibilità, ma afferma che sarebbe "estremamente difficile", purché la password stessa sia un complicato.
LastPass avverte inoltre che gli attacchi di phishing potrebbero iniziare a diventare più comuni, nel tentativo di cogliere di sorpresa i clienti ed estrarre le password principali. Per quanto riguarda ciò che si può fare adesso, si tratta solo di stare attenti e non cadere preda dei tentativi di phishing. Se sembra fuori dall'ordinario o sospetto, ricercalo. LastPass richiede password di almeno 12 caratteri da un bel po' di tempo. Ma violazioni come questa possono verificarsi e, quando ciò avviene, le cose vengono davvero ridimensionate.
L'azienda cerca tuttavia di fornire alcune garanzie, affermando che ci vorrebbero milioni di anni per provare a indovinare una password complessa. Naturalmente, questo non dovrebbe tranquillizzarti poiché c'è qualcuno là fuori con i tuoi dati crittografati. LastPass ha apportato modifiche alla propria infrastruttura al fine di prevenire violazioni future e ha contattato i clienti aziendali ad alto rischio con istruzioni.
Fonte: LastPass