LasPass conferma l’hacking di agosto

Nessun dettaglio degli utenti sarebbe stato prelevato da terzi

Ad agosto, LastPass aveva ammesso che una “parte non autorizzata” era entrata nel suo sistema. Oggi, l’azienda ha informato gli utenti che i loro accessi e altre informazioni non sono state compromesse nell’hack. Nel suo ultimo aggiornamento sull’incidente, il CEO di LastPass Karim Toubba ha affermato che l’indagine della società con la società di sicurezza informatica Mandiant ha rivelato che terzi hanno avuto accesso interno ai sistemi per quattro giorni. I criminali sono stati in grado di rubare parte del codice sorgente e delle informazioni tecniche del gestore delle password, ma con un accesso limitato all’ambiente di sviluppo che non è connesso ai dati dei clienti e crittografati. Inoltre, Toubba ha sottolineato che LastPass non ha accesso alle password principali degli iscritti, necessarie per decrittografare gli account.

Il CEO ha affermato che non ci sono prove che l’hacker abbia iniettato nei sistemi codice dannoso. Toubba ha spiegato che l’intrusione è stata resa possibile compromettendo l’endpoint di uno sviluppatore. L’hacker ha quindi impersonato lo sviluppatore “una volta che si è autenticato con successo utilizzando l’autenticazione a più fattori”. Nel 2015, LastPass ha subito una violazione della sicurezza che ha compromesso gli indirizzi e-mail, gli hash di autenticazione, i promemoria delle password e altre informazioni degli utenti. Una violazione simile sarebbe più devastante oggi, visto che il servizio conta oltre 33 milioni di clienti registrati. Anche se questa volta LastPass non chiede agli utenti di fare nulla per proteggere i propri dati, è sempre buona norma non riutilizzare le password e attivare l’autenticazione a più fattori.