Il clamoroso attacco hacker: violata LastPass, la piattaforma che "protegge" le password - CorCom

SICUREZZA INFORMATICA

Il clamoroso attacco hacker: violata LastPass, la piattaforma che “protegge” le password

Inviata a decine di utenti un’e-mail relativa a un tentativo di accesso non autorizzato, ma l’azienda smentisce qualunque fuga di dati: “Nessuna prova di compromissione delle credenziali da parte di terzi, avvisi probabilmente attivati a causa di un disguido”

29 Dic 2021

Veronica Balocco

L’app di gestione delle password LastPass, usata come cassaforte per proteggere le password di ogni utente tramite una singola chiave maestra, denominata “master password”, sarebbe rimasta vittima di una vasta operazione per tentare di accedere ai dati degli iscritti. Secondo le prime rilevazioni, decine di utenti avrebbero ricevuto delle email di avviso di un tentativo di accesso non autorizzato agli account, prontamente bloccati. A legare le attività, una serie di indirizzi internet brasiliani, da cui sarebbero partite le operazioni.

Intanto, mentre le segnalazioni si susseguivano sia sul forum di Hacker News che con vari post su Twitter, LastPass ha rassicurato gli iscritti al servizio, affermando che nessun dato è stato sottratto. “LastPass ha esaminato le recenti segnalazioni di tentativi di accesso bloccati e riteniamo che l’attività sia correlata ad un tentativo di credential stuffing. Al momento, non abbiamo alcuna indicazione che l’accesso agli account sia stato eseguito correttamente o che il servizio sia stato compromesso da una parte non autorizzata”. L’ipotesi della app è quindi che le email siano state avviate per errore, a causa di un problema tecnico.

Segnalazioni da più Paesi

I rapporti hanno iniziato a spuntare sul forum Hacker News dopo che un utente LastPass ha creato un post per evidenziare il problema, affermando che LastPass lo ha avvertito di un tentativo di accesso dal Brasile utilizzando la sua password principale. Altri utenti hanno risposto rapidamente al post, notando di aver sperimentato qualcosa di simile. Come sottolinea il poster originale @technology_greg in un tweet, alcuni sono stati anche avvisati di un tentativo dal Brasile, mentre altri tentativi sono stati fatti risalire a diversi Paesi. Ciò, comprensibilmente, ha sollevato preoccupazioni sul fatto che si fosse verificata una violazione.

WHITEPAPER
Che 2022 sarebbe senza protezione? Sviluppa ora una strategia di SICUREZZA integrata
Sicurezza
Cybersecurity

Le email hanno subito fatto pensare ad un attacco diretto alle “master password”, attraverso la tecnica del “riempimento delle credenziali” che utilizza un software automatizzato capace, in pochi secondi, di provare milioni di combinazioni tra nome utente e chiavi segrete, sperando di raggiungere il mix corretto per accedere ai profili. Nomi e password provengono dalle altre violazioni avvenute in rete, di cui spesso le persone non sanno nemmeno di essere vittima. Per questo gli esperti consigliano sempre di non usare la stessa combinazione per più siti e app.

L’ipotesi: un semplice errore tecnico

I rappresentanti di LastPass hanno spiegato di aver immediatamente indagato sui fatti “e al momento – hanno chiarito – non abbiamo alcuna indicazione che gli account LastPass siano stati compromessi da una terza parte non autorizzata a causa di questo riempimento di credenziali, né abbiamo trovato alcuna indicazione che le credenziali LastPass dell’utente siano state raccolte da malware, estensioni del browser non autorizzate o campagne di phishing”. Le indagini sono tuttavia proseguite, nel tentativo di determinare cosa abbia causato l’attivazione delle e-mail di avviso di sicurezza automatizzate dai sistemi.

Ne è emerso, secondo quanto dichiarato dalla stessa LastPass, che alcuni di questi avvisi di sicurezza sarebbero stati “probabilmente attivati per errore”. “Di conseguenza – ha aggiunto -, abbiamo adattato i nostri sistemi di avviso di sicurezza e ora questo problema è stato risolto”. La app ha inoltre ribadito che il modello di sicurezza a conoscenza zero di LastPass significa che in nessun momento LastPass memorizza, conosce o ha accesso alle password principali degli utenti. “Continueremo a monitorare regolarmente attività insolite o dannose e, se necessario, continueremo ad adottare misure volte a garantire che LastPass, i suoi utenti e i loro dati rimangano protetti e al sicuro”, ha concluso l’app.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5