Un buon numero di utenti di LastPass, noto password manager basato sul cloud, hanno riferito di aver ricevuto un’email da parte del servizio che li informava circa l’utilizzo sospetto della loro “master password” da parte di utenti sconosciuti.
Gli avvisi inviati da LastPass per email sono reali e non fanno parte di alcuna campagna di phishing. Si tratta dei messaggi d’allerta che il gestore di password invia agli iscritti quando la password principale viene inserita su dispositivi che potenzialmente non appartengono all’utente stesso.
“Qualcuno ha appena usato la tua password master per tentare di accedere al tuo account da un dispositivo o da un luogo che non conosciamo“, si legge nell’email inviata da LastPass che spiega come il tentativo di accesso sia stato bloccato. L’attenzione dell’utente viene comunque richiamata per verificare più nel dettaglio quanto accaduto.
LastPass non memorizza le master password sui suoi server quindi è impossibile che l’azienda possa averle in qualche modo divulgate, ad esempio in seguito a un ipotetico attacco informatico. Le password usate a protezione degli archivi online contenenti le credenziali degli utenti vengono infatti generate e conservate sui dispositivi locali degli iscritti e lì rimangono.
Cosa sta succedendo alle master password su LastPass
Confermando l’incremento di segnalazioni verificatosi nel corso delle ultime ore, i portavoce di LastPass hanno dichiarato che l’azienda ha già avviato una serie di indagini concludendo che l’invio dei messaggi di allerta è legato all’attività di bot comunemente usati dai criminali informatici.
LastPass sostiene che le master password sono state ottenute su server di terze parti, assolutamente scollegati da quelli della società. Utenti malintenzionati hanno poi provato a usare le credenziali così rastrellate per accedere agli archivi di password conservati su LastPass.
Stando alle indicazioni di LastPass gli utenti che hanno ricevuto in massa una notifica via email nelle ultime ore potrebbero essere stati vittima di attacchi basati sull’uso di keylogger o comunque di altre minacce informatiche che hanno permesso la sottrazione della master password sui dispositivi client. Le credenziali di accesso potrebbero essere state inoltre rubate da server di terze parti nel caso di utenti che sono soliti riutilizzare la medesima pratica su più servizi (pratica severamente sconsigliata).
Alcuni utenti sostengono comunque che la password master usata su LastPass non è adoperata per l’accesso su nessun altro servizio. Inoltre, in caso di cambio della password sostengono di aver ricevuto lo stesso avviso.
Fino a quando LastPass non chiarirà completamente la situazione il consiglio è quello di cambiare subito la password principale anche se non è stata compromessa e di abilitare l’autenticazione a due fattori: in questo modo nessun utente non autorizzato potrà accedere all’account senza possedere lo smartphone dell’utente.
Coloro che preferissero non usare password manager basati sul cloud possono comunque ripiegare su soluzioni che operano esclusivamente in ambito locale come KeePassXC oppure Psono, molto adatto per l’uso in team e in azienda.
In un altro articolo avevamo visto quanto sono sicuri i password manager.
LastPass rivela che i messaggi sono stati inviati per errore
Dopo ulteriori verifiche LastPass conferma che nessun account degli utenti è stato in alcun modo compromesso e spiega che nessun componente malevolo ha raccolto le credenziali, né malware, né estensioni dannose del browser, né campagne phishing quindi.
“Abbiamo comunque continuato a indagare nel tentativo di determinare cosa stava causando l’invio di email automatiche” che informavano gli utenti circa la potenziale violazione della password master. Hanno proseguito i responsabili di LastPass.
L’azienda che gestisce uno dei password manager cloud più famosi e utilizzati in assoluto ha scoperto che alcuni degli avvisi di sicurezza sono stati inviati a un sottoinsieme limitato di utenti per errore.
LastPass spiega che l’invio di molti degli avvisi è figlio dei continui sforzi per difendere gli utenti dai criminali informatici e dai tentativi di sottrazione delle password.
L’azienda non precisa nel dettaglio la motivazione tecnica ma è lecito ipotizzare che l’invio delle email sia stata una conseguenza di una modifica apportata lato server.
In ogni caso, come peraltro già suggerito in precedenza, se siete utenti di LastPass verificate di aver attivato l’autenticazione a due fattori come misura di sicurezza aggiuntiva.