Gli sviluppatori di LastPass, un password manager di tipo freemium, hanno fatto sapere che di recente sono satte alcune attività sospette che hanno interessato un servizio di archiviazione cloud di terze parti attualmente utilizzato in condivisione dalla loro app e da GoTo, sua affiliata (nuovo nome di LogMeIn, acquistato da LastPass nel 2015, prima che LastPass riprendesse la sua indipendenza nel 2021)
“Ci siamo adoperati tempestivamente per avviare un’indagine, intraprendendo una collaborazione con Mandiant – una società leader nel campo della cibersicurezza – e allertando gli organi preposti all’applicazione della legge”, riferiscono gli sviluppatori. “Abbiamo accertato che un soggetto non autorizzato ha sfruttato i dati trafugati nell’incidente dello scorso agosto per ottenere l’accesso a taluni elementi d’informazione dei nostri clienti, le cui password rimangono tuttavia al sicuro perché crittografate secondo l’architettura di LastPass basata sul principio della conoscenza zero” (l’app non memorizza le chiavi di decodifica sui server e dunque l’accesso al contenuto del password manager e alle credenziali è possibile esclusivamente usando la chiave privata generata e conservata sul dispositivo personale dell’utente).
E ancora: “Stiamo lavorando alacremente per comprendere meglio la portata dell’incidente e determinare con esattezza a quali informazioni sia stato possibile accedere. Allo stesso tempo, ci teniamo a precisare che i prodotti e i servizi LastPass continuano a funzionare normalmente”. GLi sviluppatori invitano gli utenti a adottare le procedure consigliate per l’impostazione e la configurazione. “Nel quadro del nostro impegno volto a rilevare e prevenire qualsiasi ulteriore attività degli autori di minacce, continuiamo a integrare la nostra infrastruttura con nuove misure di sicurezza e funzionalità di monitoraggio potenziate”.
L’azienda non indica quali dati sono stati in questione, ma possiamo supporre che si tratti di indirizzi e-mail, il che rischia di portare ondate di phishing ai clienti. Quanto accaduto è ovviamente un duro colpo per l’immagine dell’azienda: gli utenti potrebbero spaventarsi e rivolgersi ad altri gestori di password. Un incidente simile era avvenuto anche nel 2015.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione del nostro sito.