Lastpass subisce una violazione, ma password al sicuro
Lastpass, uno dei più grandi password manager al mondo, ha subìto una violazione informatica con conseguente furto dei dati
03/12/2022 di Redazione
Lastpass, uno dei più grandi password manager al mondo (33 milioni di utenti dichiarati, 100 mila account aziendali), ha subìto una violazione informatica con conseguente furto dei dati (tecnicamente un databrech), il secondo episodio nel giro di pochi mesi, dopo l’attacco di cui la società statunitense è stata vittima ad agosto scorso. È quanto ha riportato l’agenzia di stampa Agi.
La piattaforma di proprietà di LogMeIn, che non ha comunicato le password di quanti utenti risultino coinvolte, ha spiegato che ad essere state compromesse sono state le informazioni di alcuni clienti archiviate in un servizio cloud di terze parti, “attualmente condiviso sia da LastPass che dalla sua affiliata, GoTo”. Il ceo di LastPass Karim Toubba ha assicurato che “le password dei clienti rimangono crittografate in modo sicuro”: solo gli utenti infatti possono decrittografare le credenziali memorizzate. È possibile che la violazione sia in qualche modo legata a quella di agosto, quando, secondo le indagini della stessa compagnia, c’era stato un accesso fraudolento all’ambiente di sviluppo dell’azienda, con il furto di parti del codice sorgente (il sistema aveva però impedito l’accesso ai dati dei clienti e alle password). I fatti di dicembre indicano che la violazione di agosto sia stata più intrusiva di quanto inizialmente previsto. Nella comunicazione agli utenti, Karim Toubba infatti ha spiegato che il databreach è avvenuto, utilizzando le informazioni raccolte dall’attacco precedente. “Stiamo lavorando diligentemente per comprendere la portata dell’incidente e identificare a quali informazioni specifiche è stato effettuato l’accesso”, ha detto sempre Toubba. Che succederà alle password contenute del database violato non è dato sapere. Sul tavolo resta, pesante come un macigno, però non solo il tema dell’utilizzo dei cloud da parte di queste società. Ma l’uso di datacenter di terzi: una delle principali preoccupazioni per l’82% dei professionisti della sicurezza dei dati. Per proteggersi dai databreach come quelli di Lastpass, le società dovrebbero avere una completa observability (termine che si riferisce ad un controllo dinamico di un sistema, qualcosa di molto di più pregnante di un monitoraggio o di una semplice osservazione) delle informazioni nel cloud, un orizzonte fondamentale per sapere dove sono i dati, chi vi accede e qual è il loro stato di sicurezza.
Per gli utenti di Internet, le password sono sempre state un incubo. Quelle lunghe e complesse sono più sicure ma difficili da ricordare, le credenziali deboli invece si ricordano, ma sono facili da indovinare. Secondo uno studio del National Cyber Security Centre del Regno Unito, milioni di persone utilizzano il nome del proprio animale domestico, i nomi delle squadre di calcio, la “password” e “123456” per accedere ai servizi online. Un hacker ha bisogno di circa due secondi per decifrare una password di 11 caratteri composta da soli numeri.
[CREDIT PHOTO: ITALY PHOTO PRESS]