LastPass, la violazione è molto più grave del previsto

Gli hacker sono entrati in possesso di diversi dati personali, tra cui nomi, indirizzi, e anche gli hash delle password.

[ZEUS News - www.zeusnews.it - 23-12-2022]

Non era poi così priva di serie conseguenze la violazione che ha colpito LastPass lo scorso agosto, e che ha peraltro portato a una nuova incursione all'inizio di questo mese.

Con un post sul blog ufficiale, l'azeinda ha infatti comunicato che gli hacker hanno avuto accesso a diverse informazioni personali che inizialmente si riteneva fossero rimaste al sicuro.

Ora si sa invece che gli autori della violazione hanno potuto mettere le mani non soltanto su parte del codice sorgente di LastPass e su informazioni tecniche, ma anche su dati appartenenti agli utenti come i nomi degli utenti stessi e delle aziende, gli indirizzi di fatturazione, gli indirizzi email, i numeri di telefono, gli indirizzi IP da cui gli utenti hanno effettuato l'accesso ai servizi di LastPass e ai metadati collegati a tutto ciò.

Inoltre, nelle mani dei criminali informatici sono finite anche le copie di backup dei dati degli utenti, che contengono sia dati crittografati (come i nomi dei siti web, le password, le note e i dati per compilare le form) sia dati non crittografati (come gli indirizzi dei siti web).

Non perderti anche:

Aprire cancelli in tutto il mondo, grazie all'IoT

Centomila messaggi WhatsApp a spasso

Attacco a Norton Password Manager, forse compromessi migliaia di account

LastPass violato di nuovo, sottratti i dati degli utenti

LastPass sostiene che i dati crittografati siano comunque al sicuro, poiché protetti con crittografia AES a 256 bit, e «possono essere decifrati soltanto tramite una chiave crittografica unica derivata dalla master password di ogni utente usando l'architettura Zero Knowledge».

L'azienda non conosce né conserva la master password e perciò, nonostante la grave violazione, tale dato non può essere scoperto dai criminali; a meno che, naturalmente, non sia di una banalità disarmante, come purtroppo molto spesso capita.

Articoli raccomandati:

I peggiori 20 tipi di password

Per il quinto anno di fila, 123456 è la password più usata al mondo

Non tutti i cybercriminali sono dei geni del male

La scarsa protezione delle password espone i gamer ai cyber attacchi

Le indagini condotte finora mostrano, fortunatamente, che i dati delle carte di credito non sono stati toccati dagli intrusi, e c'è da sperare che stavolta l'informazione sia corretta; ciò è probabile, poiché i dati delle carte, che comunque non sono conservati nella loro interezza, vengono custoditi in una diversa infrastruttura che non è stata violata.

È inoltre improbabile che gli hacker riescano a violare gli hash delle password di cui - ora lo sappiamo - sono entrati in possesso, ma non è nemmeno possibile escluderlo totalmente: l'operazione richiede un ingente quantitativo di risorse, ma è dimostrato che gli sconosciuti autori dell'incursione sono preparati, metodici e tenaci.

Pertanto, al di là delle misure che LastPass ha messo in campo per difendere meglio i propri sistemi, gli utenti del servizio faranno bene a cambiare immediatamente la propria master password, e ad accertarsi che le impostazioni riflettano lo standard di sicurezza più elevato disponibile, e non quello predefinito.

Proposte di lettura:

Password complesse ma difficili da ricordare

Le password peggiori dell'anno

Falla in LastPass, password a rischio

Le app per gestire le password

Inoltre, sarà bene prestare ancora più attenzione del solito alle comunicazioni in arrivo: con tutti quei dati, organizzare una campagna di phishing di successo non dev'essere troppo difficile.

Ti raccomandiamo anche:

LastPass attaccata, meglio cambiare le proprie password

8 errori da evitare per non essere hackerati

Gestire le password e le estensioni

YouPorn, oltre 6.000 utenti alla berlina

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 6)

Gladiator

Soprattutto se si considera che la sicurezza per chi offre un servizio di questo tipo dovrebbe essere almeno qualche ordine di grandezza superiore a quella di ogni altro sito e, in questo caso, la fiducia è ancora molto più difficile da riguadagnare. Leggi tutto
29-12-2022 15:39

milux

Forse sarebbe bene che chi usa questi sistemi si rendesse conto di quanto sono pericolosi. Come anche permettere al browser di memorizzare log e pwd.
27-12-2022 16:48

{tres}

Forse dovrebbero cambiare nome in LostPass
26-12-2022 18:47

zero

fossi in loro cambierei subito tutte le password, non la sola master e... il servizio con uno offline (Keepass o simili) . Leggi tutto
24-12-2022 08:56

zeross

Il colpo d'immagine subito da Lastpass è talmente devastante che dubito riuscirà a risollevarsi in futuro. la fiducia e difficile da conquistare e facile da perdere :evil:
23-12-2022 16:32

Leggi gli altri 1 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(4 commenti) Il dottor IA è sempre disponibile e gratuito. Ora è autorizzato a operare come un medico vero	News(8 commenti) Cloudflare contro AGCOM: le richieste di Piracy Shield non sono tecnicamente possibili

News(4 commenti)

Verifica dell'età, il TAR accoglie il ricorso di PornHub e ferma le sanzioni

News(3 commenti)

Il mercato è invaso da SSD fake, inaffidabili e con prestazioni inferiori

News(5 commenti)

Il vibe coding sta uccidendo l'open source. Tutti i lati negativi

News(4 commenti)

L'Europa accende IRIS 2, la costellazione satellitare che vuole ridurre la dipendenza da Starlink

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: