Attacco a LastPass: sottratti codice sorgente e segreti industriali. L'azienda minimizza i rischi per gli utenti

I password manager online sono strumenti che semplificano la gestione delle tante credenziali di accesso che tutti noi utilizziamo ogni giorno. I password manager dei browser non sono sicuri: in altri nostri articoli abbiamo mostrato come sia facile trovare le password salvate su qualunque PC.

LastPass è uno dei password manager più utilizzati e apprezzati: se ne servono 33 milioni di persone e 100.000 aziende. Grazie all’utilizzo della cifratura end-to-end né LastPass né nessun altro soggetto vengono a conoscenza della master password utilizzata per proteggere l’archivio delle credenziali personali di ciascun utente. Tutte le informazioni vengono crittografate prima di lasciare il dispositivo, in transito e a riposo.
L’azienda utilizza anche la policy zero-knowledge: significa che i dati memorizzati sui server di LastPass sono sempre completamente crittografati. Per proteggere i dati in transito LastPass usa la cifratura TLS mentre per proteggere le informazioni salvate lato server usa l’algoritmo AES a 256 bit.

In un articolo di supporto dal titolo cosa succede se LastPass venisse attaccata? si spiega che un eventuale attacco sui server LastPass non può in alcun modo avere conseguenze per gli utenti finali.

Ecco, LastPass ha subìto un attacco informatico alcune settimane fa. La conferma arriva oggi con l’azienda che sta contattando gli utenti e ha pubblicato una nota sul blog ufficiale.

LastPass ha confermato che in seguito alla compromissione di un account utilizzato da uno degli sviluppatori della società i criminali informatici hanno avuto accesso all’ambiente di sviluppo usato internamente.
Gli autori dell’aggressione avrebbero rubato parti del codice sorgente di LastPass e informazioni tecniche proprietarie.
In risposta all’incidente LastPass sostiene di aver implementato una serie di misure di contenimento e mitigazione ingaggiando inoltre un’importante azienda specializzata in consulenze in materia di sicurezza informatica e analisi forense.

Karim Toubba, CEO di LasPass, ha spiegato che per il momento – in forza delle misure di sicurezza implementate e della struttura del password manager – gli utenti non devono fare nulla per proteggere i propri dati.
L’attivazione dell’autenticazione a più fattori resta fondamentale su tutti gli account LastPass in modo che nessun utente malintenzionato possa accedere agli elementi delle password anche nel caso in cui la master password risultasse compromessa.

A fine 2021 LastPass è stata coinvolta in un’attività di credential stuffing e tanti utenti si videro recapitare email con cui venivano esortati a cambiare la master password dei loro account. Per evitare attacchi del genere l’utilizzo dell’autenticazione a due fattori riveste un ruolo cruciale.