Una nuova brutta notizia per chi affida le proprie password a LastPass. Gli utenti del servizio si trovano ancora una volta a fare i conti con il furto di dati personali, anche se stavolta la falla non è arrivata direttamente dai server dell’azienda. A finire nel mirino degli hacker è stato uno dei partner esterni, e da lì sono uscite informazioni che adesso preoccupano non poco chi usa il gestore di credenziali.
Cosa è successo davvero e quali dati sono stati colpiti
La società sta inviando email a tutti gli utenti coinvolti in una violazione che ha riguardato Klue, una società di ricerche di mercato con cui collabora. Gli aggressori sono riusciti ad accedere alle informazioni dei clienti e ai dati legati alle richieste di assistenza. Niente panico sul fronte più delicato però, perché LastPass ha tenuto a precisare un punto fondamentale: le password vault, cioè le casseforti digitali dove sono custodite le credenziali vere e proprie, non sono state toccate.
In un post pubblicato sul proprio blog, l’azienda ha spiegato che i dati finiti nelle mani sbagliate erano limitati alle informazioni di contatto aziendali standard e ai relativi dati di gestione delle relazioni con i clienti, il cosiddetto CRM. Si parla quindi di nomi, numeri di telefono, indirizzi email e indirizzi fisici, oltre ai dati delle richieste di assistenza e a quelli legati alle vendite. La piattaforma di Klue, va detto, si integra con i sistemi Salesforce e Gong, e questo spiega in parte la portata della cosa.
Appena scoperto l’incidente, LastPass ha revocato l’accesso dei dipendenti a Klue, ruotato i token API esposti e avvisato le forze dell’ordine. Poi ha avviato un’indagine dettagliata per capire l’esatta ampiezza dell’evento, lavorando insieme ai contatti sia di Klue sia di Salesforce.
Cosa devono fare adesso gli utenti
Il consiglio principale che arriva dall’azienda è quello di restare vigili davanti a possibili tentativi di phishing o di ingegneria sociale che potrebbero sfruttare proprio le informazioni rubate. Per aiutare le aziende a controllare eventuali attività sospette nei propri sistemi, LastPass ha condiviso una serie di indirizzi IP e domini email collegati agli attaccanti.
Gli indirizzi IP segnalati sono 138.226.246.94, 94.154.32.160, 159.183.215.61 e 159.183.181.239. I domini mittenti da tenere d’occhio invece sono baccarat.com.au, robinskitchen.com.au e house.com.au. Questo episodio è solo l’ultimo di una lunga serie di problemi di sicurezza che hanno colpito il servizio negli anni. Nel 2015 alcuni hacker ottennero indirizzi email degli account, promemoria delle password, hash di autenticazione e salt crittografici, anche se pure in quel caso l’azienda dichiarò che i dati cifrati dei vault non erano stati raggiunti.
Più seria fu la vicenda del 2022, quando un attaccante compromise l’account di uno sviluppatore e rubò codice sorgente e informazioni tecniche. Quelle stesse informazioni vennero poi usate per accedere ai backup nel cloud, che contenevano i record dei clienti e i vault delle password criptati, insieme a dettagli non cifrati come nomi, indirizzi di fatturazione, indirizzi email e numeri di telefono.