Il noto servizio di gestione remota e crittografata dei dati personali, LastPass, ha confermato, in merito all’attacco hacker subito ad Agosto che tutti i dati degli utenti sono stati effettivamente rubati, e ha fornito alcuni consigli in merito.
La piattaforma LastPass conserva sul proprio cloud diverse tipologie di dati personali, tra cui le note di accesso agli account, vari documenti, le password, le carte di credito, e i nomi utente con cui si accede a ogni servizio: tali dati, come precisa l’azienda sul suo blog, sono resi illeggibili dalla crittografia AES a 256 bit. Diversamente, i nomi delle pagine e gli URL delle piattaforme sono conservati in chiaro, in pratica come testo semplice.
Ordunque, nell’Agosto del 2022 vi è stata un accesso non autorizzato, tramite codici di accesso di cui gli hacker erano venuti in possesso, a server di terze parti dove LastPass era solita conservare alcune copie dei backup degli utenti: gli hacker sono riusciti a copiare le informazioni dal backup, compreso il caveau con i dati degli utenti. Come accennato, per molti di quei dati vigeva la crittografia AES a 256 bit e, quindi, l’unico modo per accedervi è quello di inserire la chiave di crittografia univoca derivata dalla master password dell’utente: per farlo, però, anche ricorrendo a un attacco “brute force” col computer più potente, potrebbero volerci anni.
Insomma, i dati degli utenti sono al sicuro. Ciò nonostante, come riporta XatakaMovil, LastPass raccomanda, almeno per i servizi e le app più sensibili, di “cambiare tutte le password e i nomi utente per utilizzare LastPass“.
Il pericolo forse più tangibile, però, potrebbe essere un altro: si è già visto che LastPass conserva in chiaro alcuni dati, come gli URL dei siti e, a tal proposito, gli esperti di sicurezza paventano che gli hacker, conoscendo appunto i siti a cui sono associati le password, possano comunque condurre delle pericolose campagne di phishing. Di conseguenza, in futuro gli utenti di LastPass dovranno tenere gli occhi ben aperti e fare attenzione a ogni messaggio o mail che riceveranno.