Vi ricordate l’attacco informatico subìto da LastPass, il noto password manager online, ad agosto 2022? In quell’occasione la società spiegò che un gruppo di criminali informatici era riuscito ad accedere a un ambiente di sviluppo utilizzato internamente sottraendo parte del codice sorgente di LastPass e alcuni segreti industriali.
Il CEO di LastPass, Karim Toubba, ha gettato acqua sul fuoco spiegando che i dati degli utenti LastPass sono al sicuro e, in particolare, nomi utente e password non possono essere sottratti da parte di malintenzionati in forza dell’utilizzo dell’architettura Zero Knowledge.
Ciò significa che LastPass non memorizza le chiavi di decodifica sui suoi server quindi l’accesso al contenuto del password manager e alle credenziali è possibile solo ed esclusivamente usando la chiave privata generata e conservata sul dispositivo personale dell’utente. Questo significa che LastPass usa la crittografia end-to-end scongiurando qualunque attacco da parte di soggetti terzi.
In una nota appena pubblicata sul blog di LastPass, Toubba spiega che l’aggressione di agosto scorso ha avuto delle conseguenze.
I tecnici della società si sono infatti recentemente accorti di un’attività anomala su un servizio di storage cloud fornito da terze parti, al momento condiviso sia da LastPass che da GoTo (ex LogMeIn). In collaborazione con Mandiant, società specializzata nella sicurezza informatica, LastPass ha avviato una verifica informando contestualmente le Autorità.
Durante l’indagine, LastPass ha accertato che un soggetto non autorizzato ha sfruttato i dati acquisiti ad agosto per accedere ad alcune informazioni relative ai clienti del password manager. Al momento Toubba non specifica di quali dati si tratta ma chiarisce che in forza della policy Zero Knowledge le password degli utenti e in generale le credenziali di autenticazione memorizzate nel servizio restano al sicuro.
LastPass comunica che sta proseguendo con i controlli e raccomanda gli utenti di applicare le misure di sicurezza descritte in questo documento di supporto. In particolare viene raccomandato di abilitare l’autenticazione a due fattori e suggerito di usare l’app LastPass Authenticator per la generazione e l’inserimento del codice OTP utile per l’accesso. LastPass Authenticator permette anche l’effettuazione di un accesso senza password.
Se si utilizza LastPass per le attività d’impresa, viene consigliato di abilitare la Multi Factor Authentication (MFA) ovvero l’autenticazione a più fattori.