Non era poi così priva di serie conseguenze la violazione che ha colpito LastPass lo scorso agosto, e che ha peraltro portato a una nuova incursione all'inizio di questo mese.

Con un post sul blog ufficiale, l'azeinda ha infatti comunicato che gli hacker hanno avuto accesso a diverse informazioni personali che inizialmente si riteneva fossero rimaste al sicuro.

Ora si sa invece che gli autori della violazione hanno potuto mettere le mani non soltanto su parte del codice sorgente di LastPass e su informazioni tecniche, ma anche su dati appartenenti agli utenti come i nomi degli utenti stessi e delle aziende, gli indirizzi di fatturazione, gli indirizzi email, i numeri di telefono, gli indirizzi IP da cui gli utenti hanno effettuato l'accesso ai servizi di LastPass e ai metadati collegati a tutto ciò.

Inoltre, nelle mani dei criminali informatici sono finite anche le copie di backup dei dati degli utenti, che contengono sia dati crittografati (come i nomi dei siti web, le password, le note e i dati per compilare le form) sia dati non crittografati (come gli indirizzi dei siti web).

Proposte di lettura:

Attacco a Norton Password Manager, forse compromessi migliaia di account

LastPass violato di nuovo, sottratti i dati degli utenti

I peggiori 20 tipi di password

Per il quinto anno di fila, 123456 è la password più usata al mondo

LastPass sostiene che i dati crittografati siano comunque al sicuro, poiché protetti con crittografia AES a 256 bit, e «possono essere decifrati soltanto tramite una chiave crittografica unica derivata dalla master password di ogni utente usando l'architettura Zero Knowledge».

L'azienda non conosce né conserva la master password e perciò, nonostante la grave violazione, tale dato non può essere scoperto dai criminali; a meno che, naturalmente, non sia di una banalità disarmante, come purtroppo molto spesso capita.

Articoli raccomandati:

Non tutti i cybercriminali sono dei geni del male

La scarsa protezione delle password espone i gamer ai cyber attacchi

Password complesse ma difficili da ricordare

Le password peggiori dell'anno

Le indagini condotte finora mostrano, fortunatamente, che i dati delle carte di credito non sono stati toccati dagli intrusi, e c'è da sperare che stavolta l'informazione sia corretta; ciò è probabile, poiché i dati delle carte, che comunque non sono conservati nella loro interezza, vengono custoditi in una diversa infrastruttura che non è stata violata.

È inoltre improbabile che gli hacker riescano a violare gli hash delle password di cui - ora lo sappiamo - sono entrati in possesso, ma non è nemmeno possibile escluderlo totalmente: l'operazione richiede un ingente quantitativo di risorse, ma è dimostrato che gli sconosciuti autori dell'incursione sono preparati, metodici e tenaci.

Pertanto, al di là delle misure che LastPass ha messo in campo per difendere meglio i propri sistemi, gli utenti del servizio faranno bene a cambiare immediatamente la propria master password, e ad accertarsi che le impostazioni riflettano lo standard di sicurezza più elevato disponibile, e non quello predefinito.

Leggi anche:

Falla in LastPass, password a rischio

Le app per gestire le password

LastPass attaccata, meglio cambiare le proprie password

8 errori da evitare per non essere hackerati

Inoltre, sarà bene prestare ancora più attenzione del solito alle comunicazioni in arrivo: con tutti quei dati, organizzare una campagna di phishing di successo non dev'essere troppo difficile.