Più grave del previsto l’ultima violazione che ha messo in pericolo persino la crittografia del servizio
Dopo essere stata violata per la seconda volta in altrettanti anni lo scorso agosto, l’app per la gestione delle password Lastpass ha annunciato a fine 2022 che l’intrusione recente è stata molto più dannosa di quanto inizialmente riportato, con gli aggressori che in alcuni casi sono riusciti a rubare le password degli utenti. Ciò significa che gli hacker hanno l’intera raccolta di dati personali crittografati degli iscritti, ma non il metodo immediato per sbloccarli. “Non è stato effettuato alcun accesso ai dati dei clienti durante l’incidente dell’agosto 2022”, ha spiegato Karim Toubba, CEO di LastPass. Tuttavia, parte del codice sorgente dell’app è stato rimosso e quindi utilizzato per costringere un dipendente di Lastpass a rinunciare alle proprie credenziali di accesso, che ha utilizzato le chiavi per decrittografare e copiare “alcuni volumi di archiviazione all’interno del servizio di archiviazione basato su cloud”.
I dati crittografati ottenuti dagli hacker includevano informazioni di base sull’account come nomi di società, fatturazione, e-mail e indirizzi IP e numeri di telefono. “Questi campi crittografati rimangono protetti con la crittografia AES a 256 bit e possono essere decifrati solo con una chiave di crittografia univoca derivata dalla password principale di ciascun utente, utilizzando la nostra architettura Zero Knowledge” ha affermato Toubba. “Come promemoria, la password principale non è mai nota a LastPass e non è memorizzata o gestita da LastPass”. Sarà una seccatura, ma sostituire tutte le varie password del sito esistenti con quelle nuove, nonché scegliere una nuova password principale, potrebbe alla fine rivelarsi necessario per riguadagnare la sicurezza online.
