L’app di gestione delle password LastPass, usata come cassaforte per proteggere le password di ogni utente tramite una singola chiave maestra, denominata “master password”, sarebbe rimasta vittima di una vasta operazione per tentare di accedere ai dati degli iscritti. Secondo le prime rilevazioni, decine di utenti avrebbero ricevuto delle email di avviso di un tentativo di accesso non autorizzato agli account, prontamente bloccati. A legare le attività, una serie di indirizzi internet brasiliani, da cui sarebbero partite le operazioni.
Intanto, mentre le segnalazioni si susseguivano sia sul forum di Hacker News che con vari post su Twitter, LastPass ha rassicurato gli iscritti al servizio, affermando che nessun dato è stato sottratto. “LastPass ha esaminato le recenti segnalazioni di tentativi di accesso bloccati e riteniamo che l’attività sia correlata ad un tentativo di credential stuffing. Al momento, non abbiamo alcuna indicazione che l’accesso agli account sia stato eseguito correttamente o che il servizio sia stato compromesso da una parte non autorizzata”. L’ipotesi della app è quindi che le email siano state avviate per errore, a causa di un problema tecnico.
Segnalazioni da più Paesi
I rapporti hanno iniziato a spuntare sul forum Hacker News dopo che un utente LastPass ha creato un post per evidenziare il problema, affermando che LastPass lo ha avvertito di un tentativo di accesso dal Brasile utilizzando la sua password principale. Altri utenti hanno risposto rapidamente al post, notando di aver sperimentato qualcosa di simile. Come sottolinea il poster originale @technology_greg in un tweet, alcuni sono stati anche avvisati di un tentativo dal Brasile, mentre altri tentativi sono stati fatti risalire a diversi Paesi. Ciò, comprensibilmente, ha sollevato preoccupazioni sul fatto che si fosse verificata una violazione.
Le email hanno subito fatto pensare ad un attacco diretto alle “master password”, attraverso la tecnica del “riempimento delle credenziali” che utilizza un software automatizzato capace, in pochi secondi, di provare milioni di combinazioni tra nome utente e chiavi segrete, sperando di raggiungere il mix corretto per accedere ai profili. Nomi e password provengono dalle altre violazioni avvenute in rete, di cui spesso le persone non sanno nemmeno di essere vittima. Per questo gli esperti consigliano sempre di non usare la stessa combinazione per più siti e app.
L’ipotesi: un semplice errore tecnico
I rappresentanti di LastPass hanno spiegato di aver immediatamente indagato sui fatti “e al momento – hanno chiarito – non abbiamo alcuna indicazione che gli account LastPass siano stati compromessi da una terza parte non autorizzata a causa di questo riempimento di credenziali, né abbiamo trovato alcuna indicazione che le credenziali LastPass dell’utente siano state raccolte da malware, estensioni del browser non autorizzate o campagne di phishing”. Le indagini sono tuttavia proseguite, nel tentativo di determinare cosa abbia causato l’attivazione delle e-mail di avviso di sicurezza automatizzate dai sistemi.
Ne è emerso, secondo quanto dichiarato dalla stessa LastPass, che alcuni di questi avvisi di sicurezza sarebbero stati “probabilmente attivati per errore”. “Di conseguenza – ha aggiunto -, abbiamo adattato i nostri sistemi di avviso di sicurezza e ora questo problema è stato risolto”. La app ha inoltre ribadito che il modello di sicurezza a conoscenza zero di LastPass significa che in nessun momento LastPass memorizza, conosce o ha accesso alle password principali degli utenti. “Continueremo a monitorare regolarmente attività insolite o dannose e, se necessario, continueremo ad adottare misure volte a garantire che LastPass, i suoi utenti e i loro dati rimangano protetti e al sicuro”, ha concluso l’app.
