Non c'è pace per LastPass: nuova violazione dei dati
Secondo l'azienda sono state esposte alcune informazioni, ma non le password
LastPass (qui trovate le migliori alternative) ha subito un altro "incidente di sicurezza", e sembra quasi diventata una quasi non-notizia.
Dopo l'attacco dello scorso agosto, che non ha causato una violazione dei dati, questa volta però sarebbe andata diversamente, anche se non sembra che le nostre password siano in pericolo.
Ma cosa sta succedendo? Nella serata di ieri l'azienda ha pubblicato un Tweet in cui annuncia una violazione della sicurezza, rimandando a un post dello stesso amministratore delegato di LastPass, Karim Toubba.
Secondo Toubba, gli hacker hanno avuto accesso a un servizio di cloud storage di terze parti utilizzato dalla sua azienda e sono stati in grado di "ottenere l'accesso a determinati elementi" delle "informazioni dei clienti".
Al momento non si sa a quali informazioni si riferisca Toubba, e quanti clienti siano stati colpiti, ma il manager assicura che le password degli utenti non sono state compromesse, in quanto crittografate grazie all'architettura Zero Knowledge di LastPass (qui potete dare un rapido sguardo alle sue funzioni).
In pratica, questo vuol dire che la password principale, o master password, è a disposizione solo dell'utente e l'azienda non la conosce, in quanto è crittografata sul dispositivo e non sul server.
Toubba rivela altri dettagli e spiega che l'ultimo attacco è legato proprio alla violazione di agosto di cui parlavamo in apertura. A quanto pare, infatti, gli hacker hanno "utilizzato le informazioni ottenute nell'incidente dell'agosto 2022", che aveva comportato l'accesso ai sistemi dell'azienda per ben quattro giorni prima di essere rilevati.
Il capo di LastPass conclude rassicurando che il servizio rimane completamente funzionante, e di aver avviato un'indagine interna per comprendere la portata dell'incidente e identificare a quali informazioni specifiche è stato effettuato l'accesso, oltre a cercare di comprendere cosa sia andato storto.
Tempo di cambiare password manager? Difficile dirlo, certo nessun sistema è sicuro al 100%, ma questa non è una bella pubblicità per LastPass. In ogni caso le alternative non mancano, nella speranza che i sistemi senza password come Passkey o le soluzioni della FIDO Alliance prendano presto piede.