Il gigante dei PASSWORD MANAGER #LastPass ha confermato che un gruppo di criminali informatici è riuscita ad appropriarsi dei repository dove erano custodite le password crittografate degli utenti di LASTPASS.
In un post sul blog ufficiale, il CEO di LastPass, Karim Toubba, ha affermato che gli intrusi hanno preso una copia di un backup dei dati con all’interno le password degli utenti utilizzando chiavi di archiviazione cloud rubate a un dipendente di LastPass. La cache dei repositoryi delle password dei clienti è archiviata in un “formato binario proprietario” che contiene dati crittografati e non crittografati, ma i dettagli tecnici e di sicurezza di questo formato proprietario non sono stati specificati. I dati non crittografati includono gli indirizzi Web archiviati nel vault . Non è chiaro quanto siano recenti i backup rubati.
LastPass ha affermato che i repository delle password dei clienti sono crittografati e possono essere sbloccati solo utilizzando la password principale impostata dai clienti, che è nota, quindi, solo ai clienti stessi. Ma la società ha avvertito che i criminali informatici dietro l’intrusione “potrebbero tentare di usare la forza bruta per indovinare le password “principali” e decrittografare le copie dei dati del repository che hanno preso”.
LastPass ha inoltre reso noto che i cybercriminali hanno anche prelevato enormi quantità di dati dei clienti, inclusi nomi, indirizzi e-mail, numeri di telefono e alcune informazioni di fatturazione.
I gestori di password sono in gran parte una buona cosa da usare per archiviare le password, che dovrebbero essere tutte lunghe, complesse e uniche per ogni sito o servizio. Ma incidenti di sicurezza come questo ci ricordano che non tutti i gestori di password sono uguali e possono essere attaccati o compromessi in modi diversi. Dato che il modello di minaccia di ognuno è diverso, nessuno avrà gli stessi requisiti dell’altro.
In una rara situazione come questa, se un malintenzionato ha accesso ai depositi di password crittografati dei clienti, “tutto ciò di cui avrebbe bisogno è la password principale di una vittima”. Un repository di password esposto o compromesso è forte solo quanto la crittografia e la password utilizzate per codificarlo.
La cosa migliore che può fare chi utilizza (o utilizzava…) LastPass è cambiare la tua attuale password principale di LastPass con una nuova password bella robusta (o, meglio ancora una passphrase) annotandola e conservandola in un luogo sicuro.
Se ritieni che il tuo repository password LastPass possa essere compromesso, ad esempio se la tua password principale è debole o se l’hai utilizzata altrove, dovresti iniziare a modificare le password che avevi memorizzato nel tuo repository LastPass. Inizia con gli account più critici, come i tuoi account di posta elettronica, il tuo account del piano di telefonia cellulare, i tuoi conti bancari e i tuoi account di social media, e procedi verso il basso nell’elenco delle priorità.
Ricorda: gli account protetti con l’autenticazione a due fattori renderanno molto più difficile per i malintenzionati accedere ai tuoi dati senza il secondo fattore. Ecco perché è importante proteggere gli account critici con il “doppio fattore”, come ad esempio i tuoi account di posta elettronica e gli accessi a dati finanziari.