L’Information Commissioner’s Office (ICO) del Regno Unito ha inflitto una sanzione di 1,2 milioni di sterline a LastPass per i due data breach di agosto 2022 che ha interessato circa 1,6 milioni di utenti britannici. Attraverso due successivi attacchi, i cybercriminali sono riusciti ad accedere alle informazioni personali. La software house statunitense ha espresso il suo disappunto per la decisione con un comunicato inviato a Bleeping Computer.

Concatenazione di due data breach

A fine agosto 2022, ignoti cybercriminali hanno effettuato l’accesso all’ambiente di sviluppo di LastPass e rubato porzioni di codice sorgente, sfruttando l’account di un dipendente ottenuto dopo aver compromesso il suo notebook. In questo caso non erano stati sottratti i dati personali degli utenti perché le chiavi crittografiche del database erano conservate nei vault di quattro dipendenti senior.

Tuttavia, il giorno successivo, i cybercriminali hanno preso di mira uno dei quattro dipendenti senior. Sfruttando una vulnerabilità di Plex sono riusciti ad accedere al suo notebook e installare un keylogger con il quale è stata catturata la master password del suo vault.

Il dipendente ha usato la stessa master password per il vault aziendale che conteneva le chiavi di accesso al servizio AWS S3. Utilizzando le informazioni ottenute con il primo data breach, i cybercriminali hanno estratto il contenuto dei backup su AWS S3 con i dati personali degli utenti.

In dettaglio, nel database c’erano nomi, username, indirizzi email, numeri di telefono, indirizzi di fatturazione e indirizzi IP. Il garante della privacy britannico scrive che i cybercriminali non sono riusciti a trovare la master password e quindi ad accedere alle credenziali cifrate. In realtà, ciò è avvenuto in almeno un caso consentendo il furto di 35 milioni in criptovalute.

L’ICO ha inflitto una sanzione di 1,2 milioni di sterline per la violazione della privacy di circa 1,6 milioni di utenti britannici. Questa è la dichiarazione ufficiale di LastPass: