LastPass è stato violato per la seconda volta in tre mesi. È utilizzato da oltre 30 milioni di persone in tutto il mondo. Il gestore di password LastPass ha riconosciuto che gli hacker hanno rubato copie crittografate delle password degli utenti e altri dati sensibili, inclusi gli indirizzi di fatturazione degli utenti, i numeri di telefono e gli indirizzi IP. Inizialmente, il sistema è stato violato ad agosto, alla fine di novembre: all'inizio di dicembre sono apparse informazioni su quali dati sono stati rubati e ora il blog dell'azienda ha pubblicato i dettagli.
Il gestore di password LastPass è stato violato, cosa che si è rivelata molto efficace per gli hacker stessi, sono riusciti ad accedere ai dati dell'utente, ma non si sa ancora cosa esattamente. È probabile che ora abbiano accesso alle password che gli utenti del servizio memorizzano nei loro profili.
Le informazioni sull'hacking di LastPass e sulla compromissione dei dati degli utenti sono state confermate anche dai rappresentanti del servizio stesso. Tuttavia, nascondono accuratamente sia l'entità della fuga di notizie sia la natura delle informazioni finite nelle mani degli aggressori, quindi per ora tutti gli utenti di LastPass nessuno escluso, che sono milioni di persone in tutto il mondo, sono a rischio. Secondo il portale EarthWeb, a partire da ottobre 2022, la base di utenti di LastPass contava 33 milioni di persone.
Quando il materiale è stato rilasciato, i rappresentanti di LastPass non hanno confermato, ma non hanno negato la fuga delle password degli utenti che si trovano nella loro memoria online personale. Tuttavia, c'è il rischio di un tale risultato di un attacco di hacker. Inoltre, tenendo conto del fatto che LastPass ha consentito la divulgazione di password più di una volta nei suoi 14 anni di esistenza, il rischio in questo caso è elevato.
Cosa devo fare?
La prima cosa che gli utenti devono fare è vedere quali password sono memorizzate nel cloud e modificarle il più rapidamente possibile prima che gli aggressori le raggiungano in modo specifico. Molte persone, ad esempio, salvano le password di una banca Internet o della posta elettronica aziendale in tali gestori.
Il secondo passo è trovare, se non un sostituto di LastPass, almeno un gestore di password di backup tra quelli che funzionano offline. Tali programmi memorizzano il database delle password direttamente sul dispositivo dell'utente (spesso in forma crittografata), il che riduce notevolmente il rischio che il suo contenuto venga trapelato.
I gestori di password consentono agli utenti di memorizzare i propri nomi utente e password su siti diversi in un unico posto, a cui si accede con una password principale creata dall'utente. Last Pass non memorizza né elimina la password principale. Altri dati crittografati possono essere recuperati solo utilizzando una "chiave di crittografia univoca ottenuta dalla password principale dell'utente". Tuttavia, la società ha avvertito i clienti che potrebbero diventare vittime di ingegneria sociale, phishing e altri metodi per ottenere informazioni. Inoltre, gli hacker possono utilizzare un attacco di forza bruta per ottenere la password principale e decrittografare altri dati che si trovano nell'archivio crittografato. Tuttavia, LastPass afferma che gli aggressori impiegheranno "milioni di anni" per indovinare una password utilizzando tecniche di hacking pubblicamente disponibili.
La società ha affermato che Mandiant, una società che fornisce sicurezza informatica, sta indagando sull'incidente e che LastPass stesso sta ricostruendo completamente l'intero ambiente di lavoro: questo indica indirettamente che gli hacker sono riusciti a ottenere parti significative di codice e altri dati.
LastPass ha anche affermato che l'indagine è in corso e la società ha informato le forze dell'ordine e le autorità di regolamentazione competenti dell'incidente. Lei stessa consiglia agli utenti di rendere la password principale non più corta di 12 caratteri, di modificare le impostazioni dello standard di generazione della chiave PBKDF2 (Password-Based Key Derivation Function) e, ovviamente, di non utilizzare la password principale su altri siti. Vengono fornite raccomandazioni attuali più dettagliate nel blog di servizio.
Puoi aiutare l'Ucraina a combattere contro gli invasori russi. Il modo migliore per farlo è donare fondi alle forze armate ucraine attraverso Salva Vita o tramite la pagina ufficiale NBU.