Ad agosto, LastPass si è dichiarato pulito e ha confessato che una ‘terza parte’ aveva avuto accesso al suo sistema a loro insaputa. Qualsiasi segnalazione che un gestore di password sia stato violato può potenzialmente essere inquietante, ma l’azienda assicura ai propri clienti che le loro credenziali di accesso e altri dati sensibili non sono stati compromessi a causa dell’incidente.
Secondo la dichiarazione più recente rilasciata dal CEO di LastPass Karim Toubba in merito all’incidente, l’indagine della società sulla questione con l’assistenza della società di sicurezza informatica Mandiant ha rivelato che l’attore malintenzionato ha avuto accesso interno ai sistemi dell’azienda per un periodo di quattro giorni. Sono riusciti a rubare parte del codice sorgente e delle informazioni tecniche per il gestore delle password, ma il loro accesso è stato limitato all’ambiente di sviluppo del servizio, che non è connesso ai dati dei clienti o ai depositi crittografati.
LastPass ha chiarito il problema
Secondo l’amministratore delegato, non ci sono prove che ‘qualsiasi accesso ai dati dei clienti o ai depositi di password crittografate’ sia stato coinvolto in questo evento. A parte questo, non hanno scoperto alcun indicatore di accesso illegale verificatosi dopo quei quattro giorni, né hanno trovato alcuna indicazione che l’hacker avesse iniettato nei sistemi codice dannoso.
Toubba ha spiegato che l’attore malintenzionato ha ottenuto l’accesso all’infrastruttura del servizio irrompendo nell’endpoint di uno sviluppatore e ottenendo i privilegi di amministratore. Successivamente, l’hacker ha finto di essere lo sviluppatore ‘dopo che è stato stabilito che lo sviluppatore si era autenticato con successo utilizzando l’autenticazione a più fattori’.
Nel 2015, il servizio di gestione delle password LastPass è stato vittima di una violazione della sicurezza che ha portato all’esposizione di indirizzi e-mail, hash di autenticazione e altre informazioni appartenenti ai suoi clienti. Dato che si dice che il servizio abbia più di 33 milioni di consumatori registrati, una fuga di dati di natura simile avrebbe oggi un impatto negativo maggiore.
Sebbene LastPass non stia richiedendo nulla di specifico ai suoi clienti in questo momento per mantenere i loro dati al sicuro, è sempre una buona idea evitare di riutilizzare le password e utilizzare l’autenticazione a più fattori quando possibile.