Non era poi così priva di serie conseguenze la violazione che ha colpito LastPass lo scorso agosto, e che ha peraltro portato a una nuova incursione all'inizio di questo mese.

Con un post sul blog ufficiale, l'azeinda ha infatti comunicato che gli hacker hanno avuto accesso a diverse informazioni personali che inizialmente si riteneva fossero rimaste al sicuro.

Ora si sa invece che gli autori della violazione hanno potuto mettere le mani non soltanto su parte del codice sorgente di LastPass e su informazioni tecniche, ma anche su dati appartenenti agli utenti come i nomi degli utenti stessi e delle aziende, gli indirizzi di fatturazione, gli indirizzi email, i numeri di telefono, gli indirizzi IP da cui gli utenti hanno effettuato l'accesso ai servizi di LastPass e ai metadati collegati a tutto ciò.

Inoltre, nelle mani dei criminali informatici sono finite anche le copie di backup dei dati degli utenti, che contengono sia dati crittografati (come i nomi dei siti web, le password, le note e i dati per compilare le form) sia dati non crittografati (come gli indirizzi dei siti web).

Articoli suggeriti:

Aprire cancelli in tutto il mondo, grazie all'IoT

Centomila messaggi WhatsApp a spasso

Attacco a Norton Password Manager, forse compromessi migliaia di account

LastPass violato di nuovo, sottratti i dati degli utenti

LastPass sostiene che i dati crittografati siano comunque al sicuro, poiché protetti con crittografia AES a 256 bit, e «possono essere decifrati soltanto tramite una chiave crittografica unica derivata dalla master password di ogni utente usando l'architettura Zero Knowledge».

L'azienda non conosce né conserva la master password e perciò, nonostante la grave violazione, tale dato non può essere scoperto dai criminali; a meno che, naturalmente, non sia di una banalità disarmante, come purtroppo molto spesso capita.

Per approfondire:

I peggiori 20 tipi di password

Per il quinto anno di fila, 123456 è la password più usata al mondo

Non tutti i cybercriminali sono dei geni del male

La scarsa protezione delle password espone i gamer ai cyber attacchi

Le indagini condotte finora mostrano, fortunatamente, che i dati delle carte di credito non sono stati toccati dagli intrusi, e c'è da sperare che stavolta l'informazione sia corretta; ciò è probabile, poiché i dati delle carte, che comunque non sono conservati nella loro interezza, vengono custoditi in una diversa infrastruttura che non è stata violata.

È inoltre improbabile che gli hacker riescano a violare gli hash delle password di cui - ora lo sappiamo - sono entrati in possesso, ma non è nemmeno possibile escluderlo totalmente: l'operazione richiede un ingente quantitativo di risorse, ma è dimostrato che gli sconosciuti autori dell'incursione sono preparati, metodici e tenaci.

Pertanto, al di là delle misure che LastPass ha messo in campo per difendere meglio i propri sistemi, gli utenti del servizio faranno bene a cambiare immediatamente la propria master password, e ad accertarsi che le impostazioni riflettano lo standard di sicurezza più elevato disponibile, e non quello predefinito.

Consigliamo la lettura di:

Password complesse ma difficili da ricordare

Le password peggiori dell'anno

Falla in LastPass, password a rischio

Le app per gestire le password

Inoltre, sarà bene prestare ancora più attenzione del solito alle comunicazioni in arrivo: con tutti quei dati, organizzare una campagna di phishing di successo non dev'essere troppo difficile.

Proposte di lettura:

LastPass attaccata, meglio cambiare le proprie password

8 errori da evitare per non essere hackerati

Gestire le password e le estensioni

YouPorn, oltre 6.000 utenti alla berlina