Il gestore di password di Lastpass ha effettivamente subito una violazione dei dati quest’estate, ma poi è stato minimizzato seriamente. Gli aggressori hanno ottenuto l’accesso al server utilizzato nel codice di backup, ma Lastpass ha confermato che nessun dato utente è stato trapelato.
Tuttavia, la società oggi ammette che l’hacking è stato molto peggiore di quanto precedentemente noto. Gli hacker sono entrati e sono stati in grado di scaricare gli indirizzi e-mail, i numeri di telefono, gli indirizzi IP dei clienti e gli elenchi dei siti a cui accedono gli utenti.
Il materiale rubato contiene anche versioni crittografate di nomi utente e password.
Il CEO Karim Toba scrive in uno i post del blog Che la crittografia deve essere così forte da non poter essere violata per milioni di anni. Tuttavia, ciò presuppone che gli utenti abbiano seguito i consigli, utilizzando password lunghe e univoche difficili da indovinare.
“Tuttavia, è importante sottolineare che se la tua password principale non segue lo standard, ci vorranno meno tentativi per capirlo. In questi casi, come ulteriore precauzione, dovresti cambiare le password sui siti da cui le hai salvate. “
Ora, quindi, gli hacker hanno Accesso alle password, ma in un formato crittografato che non possono leggere secondo Lastpass. L’ammontare del danno dipende interamente dal fatto che siano in grado di rilevarne alcuni.
Ma anche se non vengono recuperate password, indirizzi e-mail, nomi e altri elementi possono essere utilizzati per e-mail di phishing mirate che inducono gli utenti a rivelare le proprie password. Lastpass avverte anche di questo: “È importante che Lastpass non ti chiami, non ti invii e-mail o non ti scriva mai chiedendoti di fare clic su un collegamento per confermare le informazioni personali. Non ti chiederemo mai la tua password principale tranne quando hai effettuato l’accesso. “
Lastpass è uno dei più grandi servizi di gestione delle password al mondo, con 33 milioni di utenti. Il servizio memorizza le password e altri dati sensibili degli utenti. L’account è protetto da una password principale, ma può anche essere protetto con l’accesso a due fattori, che si basa sul fatto che per accedere è necessario un codice temporaneo aggiuntivo dal telefono cellulare.
I pirati sembrano averne approfittato Dalla lama rubata nella breccia l’estate scorsa. Il CEO di Lastpass scrive che è stato utilizzato per contattare un dipendente e fargli fornire le credenziali di accesso che avrebbero consentito agli aggressori di entrare nel sistema. Presumibilmente, ciò significa che possono agire come se fossero dipendenti, con accesso a codice e informazioni tecniche che dovrebbero essere conosciute solo all’interno dell’azienda.
Gli esperti di sicurezza IT di solito raccomandano l’uso di gestori di password, che semplificano l’utilizzo di password complesse e univoche su diversi siti web. Ma allo stesso tempo, in un certo senso, stai mettendo tutte le uova nello stesso paniere, perché chiunque controlli il tuo gestore di password ha accesso a quasi tutti i tuoi altri account.