Nelle scorse settimane, LastPass ha reso noto di aver rilevato in ottobre una violazione dei propri sistemi (la seconda, dopo quella di agosto), fornendo qualche primo dettaglio sulla modalità impiegata dai cybercriminali e sull’impatto di quanto accaduto. Oggi, la società fornisce un nuovo aggiornamento sulla vicenda e, purtroppo, non si tratta di buone notizie.
L’attacco a LastPass: scaricati i dati degli utenti
Sulla base delle indagini condotte, è emerso che una terza parte non ancora meglio identificata ha avuto accesso al servizio di cloud storage in cui sono salvati i dati degli utenti. Riportiamo di seguito in estratto di quanto spiegato, in forma tradotta.
Nonostante non siano stati effettuati accessi ai dati degli utenti durante l’incidente di agosto, parti del codice sorgente e alcune informazioni tecniche sono state rubate dal nostro ambiente di sviluppo e impiegate per prendere di mira un altro dipendente, ottenendo così credenziali e chiavi che sono poi state utilizzate per accedere e decifrare alcuni dei volumi archiviati sul nostro servizio di storage basato sul cloud.
Un quadro piuttosto complesso, con ricadute potenzialmente disastrose. In breve, nell’attacco di agosto sono stati sottratti codice sorgente e documentazione tecnica. Facendo leva su questi, i cybercriminali sono poi riusciti a far cadere nelle loro trappola un dipendente di LastPass, ottenendo così le credenziali necessarie per allungare infine le mani su una copia di backup dei dati caricati dagli utenti.
Per “dati”, ovviamente, si intendono anche le password affidate al servizio per la loro conservazione. Meglio cambiarle per precauzione, anche se siamo ben consci di come questo comporti un dispendio non indifferente di tempo (e pazienza).
LastPass sostiene che la privacy e gli account dei suoi iscritti siano comunque al sicuro, poiché l’archivio è protetto da crittografia AES-256, inaccessibile senza essere la master password di cui solo l’utente è in possesso e di cui nemmeno la società è a conoscenza.
Non è comunque da escludere il rischio che i cybercriminali possano cercare di violare la protezione con attacchi brute force, finalizzati proprio a scovare l’ultima chiave che li separa dai dati e dalle credenziali di chi, in questa situazione, altro non è che un’incolpevole vittima.
Ti potrebbe interessare
23 dic 2022