Solo qualche giorno fa si è parlato, come grande attentato alla sicurezza digitale degli utenti online, di un attacco al servizio di streaming e mediaplayer Plex, da parte di hacker che avevano avuto accesso a parte delle informazioni di un database. Non è trascorso molto tempo che un nuovo alert ha preso a circolare online, a proposito in questo caso del servizio LastPass.
LastPass, ideato dalla società ungherese GoTo, prima nota come LogMeIn Inc, è un noto software di gestione in sicurezza delle password, usato da più di 100 mila aziende e 33 milioni di persone, anche in virtù della sua comodità, visto che si occupa anche di gestire in automatico in login ai siti web, senza che l’utente debba farlo manualmente volta per volta (cosa che spesso porta ad adottare password facili da ricordare, spesso uguali su tutti i servizi).
Nei giorni scorsi, il team di sicurezza di LastPass ha notato attività insolite nel proprio ambiente di sviluppo, rendendosi conto che, a seguito della compromissione di un account developer, degli hacker avevano avuto accesso a tale ambiente.
L’azienda si è subito premurata di precisare che non vi sono prove che vi sia stata la compromissione della sicurezza delle informazioni degli utenti, o degli archivi di password crittografate. Inoltre, lo stresso discorso vale per le master password, ovvero la “combinazioni” che aprono lo scrigno delle credenziali crittografate dell’utente (ciò grazie al fatto che, in ragione dell’architettura Zero Knowledge, la piattaforma non memorizza tali master password, che quindi restano sconosciute all’azienda).
Alla domanda su cosa sia stato compromesso, con un post nel suo blog ufficiale, il team di Last Pass ha fatto riferimento a “porzioni del codice sorgente” ed ad “alcune informazioni tecniche proprietarie di LastPass“: in ogni caso, sono state avviate indagini con “un’importante azienda di sicurezza informatica e forense” e intraprese misure di “contenimento e mitigazione” del problema, per le quali non è richiesto all’utente che adotti alcuna azione: in ogni caso, vale sempre il consiglio che, nel tenere al sicuro i propri account, è bene porli sotto la protezione della routine nota come 2FA, meglio conosciuta come “autenticazione a due fattori“.