LastPass offre agli utenti uno dei più noti e utilizzati password manager basati sul cloud: stando ai dati condivisi dall’azienda, la soluzione è ad oggi utilizzata da oltre 33 milioni di persone e 100.000 imprese.
Il CEO di LastPass, Karim Toubba, è tornato sull’attacco subìto ad agosto per condividere ulteriori informazioni sull’incidente.
Dopo le indagini condotte in collaborazione con la società di sicurezza informatica Mandiant, Toubba ha spiegato che gli aggressori hanno potuto utilizzare un accesso interno ai sistemi dell’azienda per quattro giorni fino a quando non sono stati rilevati e bloccati.
“Sebbene gli autori dell’attacco siano stati in grado di accedere all’ambiente di sviluppo, i controlli effettuati dal nostro sistema hanno impedito la consultazione e l’esfiltrazione dei dati degli utenti oltre che l’esposizione degli archivi delle password crittografati“, ha spiegato l’amministratore delegato di LastPass.
Dopo aver analizzato il codice sorgente e le build di produzione, LastPass conferma che durante l’attacco non si sono registrati tentativi di iniezione di codice dannoso. Toubba ha voluto comunque precisare che il processo di rilascio degli aggiornamenti di LastPass, seguendo la filosofia DevSecOps, prevede una serie di fasi che passano per la revisione, il test e la convalida del codice: solo il team che si occupa dei rilasci può trasferire il codice dallo sviluppo alla produzione.
Il CEO ha inoltre aggiunto che l’ambiente di sviluppo di LastPass è “fisicamente isolato e non ha alcuna connessione diretta con l’ambiente di produzione“.
Per chi fosse “allergico” ai password manager cloud in un altro articolo abbiamo spiegato come servirsi di alcuni tra i principali e migliori fork di KeePass per salvare username e password attivando la sincronizzazione tra più dispositivi.
Gli utenti più smaliziati possono anche installare un server Bitwarden che funga da password manager condiviso in locale o in configurazioni private cloud.