A seguito di un attacco informatico nell’agosto 2022, il principale gestore di password LastPass e la sua consociata, la società di software di comunicazione GoTo, hanno segnalato una compromissione nella loro infrastruttura di archiviazione cloud. In un aggiornamento sulla situazione in corso, l’azienda confessa di aver recentemente notato uno “strano comportamento” all’interno di un provider di archiviazione cloud di terze parti utilizzato sia da LastPass che da GoTo.
Secondo i risultati dell’inchiesta di LastPass, che è stata firmata dal CEO Karim Toubba e comprendeva specialisti della sicurezza di Mandiant, qualcuno ha sfruttato le credenziali divulgate nell’incidente per ottenere l’accesso ad “alcuni aspetti” delle informazioni sui clienti di LastPass.
LastPass e GoTo hanno dichiarato di essere stati ‘attaccati’
Toubba non ha fornito ulteriori informazioni sul tipo di dati a cui si è avuto accesso, ma ha affermato che le credenziali dell’utente non sono state compromesse. “Grazie al design Zero Knowledge di LastPass, le password dei nostri clienti sono crittografate in modo sicuro”, ha affermato. “Abbiamo stabilito uno stato di contenimento, installato misure di sicurezza ulteriormente migliorate e non vediamo ulteriori segni di attività illegali mentre la nostra inchiesta è in corso”.
LastPass non è estraneo alle violazioni dei dati perpetrate dagli hacker grazie al suo status di uno dei gestori e generatori di password aziendali più popolari disponibili, con oltre 100.000 organizzazioni che dipendono regolarmente da esso. Tuttavia, all’epoca, l’autore della minaccia non era in grado di accedere ai dati interni dei clienti o ai depositi di password crittografati. LastPass afferma che il loro design Zero Knowledge non è stato modificato a seguito del recente sviluppo.
“Sebbene l’autore della minaccia sia stato in grado di entrare nell’ambiente di sviluppo”, ha affermato Toubba all’epoca, “la nostra architettura di sistema e le nostre misure di sicurezza hanno impedito all’hacker di accedere ai dati dei clienti o ai depositi di password crittografati”. L’aggressore sembra aver ottenuto l’accesso all’ambiente di sviluppo dell’azienda attraverso l’endpoint di uno sviluppatore compromesso.