Un altro aggiornamento sulla recente violazione dei dati di LastPass svela altre notizie potenzialmente negative per gli utenti del popolare password manager.
Paddy Srinivasan, CEO di GoTo, società madre di LastPass, ha rivelato in un post sul blog che gli aggressori che hanno preso di mira il servizio di cloud storage condiviso da entrambe le società, e sono poi riusciti a sottrarre i backup crittografati relativi a una serie di prodotti.
Questi prodotti includono Central, Pro, join.me, Hamachi e RemotelyAnywhere.
Chiavi di crittografia rubate
Oltre ai backup crittografati, gli aggressori hanno rubato anche una chiave di crittografia per "una parte" dei backup crittografati, ha aggiunto Srinivasan.
I dati ora a rischio comprendono nomi di account, password (sottoposte a salt & hash), una parte delle impostazioni dell'autenticazione a più fattori (MFA) e alcune impostazioni di prodotti e informazioni sulle licenze. I dati bancari o delle carte di credito non fanno parte del bottino (almeno per ora, per quanto ne sappiamo).
Anche le date di nascita, gli indirizzi di casa e i numeri di previdenza sociale degli utenti sono stati dichiarati sicuri, in quanto GoTo non li memorizza.
Inoltre, un "piccolo sottoinsieme" di utenti di Rescue e GoToMyPC ha subito un impatto sulle impostazioni MFA. I database crittografati, tuttavia, non sarebbero stati sottratti.
Sebbene tutte le password degli account siano state sottoposte a salting ed hashing "in conformità con le migliori pratiche", GoTo ha comunque resettato le password degli utenti interessati, chiedendo loro di riautorizzare le impostazioni MFA, ove possibile. L'amministratore delegato ha inoltre dichiarato che l'azienda sta migrando gli account interessati su una piattaforma di gestione dell'identità migliorata per garantire una maggiore sicurezza e opzioni di autenticazione e sicurezza basate sul login più solide.
Srinivasan ha confermato che i clienti interessati sono stati contattati direttamente.
LastPass ha riferito per la prima volta di aver subito una violazione dei dati nel novembre 2022. Un'indagine iniziale ha stabilito che gli hacker sono riusciti a rubare la cassaforte dei clienti, che è sostanzialmente la lista di password. Tuttavia, gli archivi stessi sono criptati, il che significa che per i malviventi non sarà così facile leggerne il contenuto.
"Questi campi criptati rimangono protetti dalla crittografia AES a 256 bit e possono essere decifrati solo con una chiave di crittografia unica derivata dalla password principale di ogni utente, utilizzando la nostra architettura Zero Knowledge", ha dichiarato Karim Toubba, CEO di LastPass. "Come promemoria, la password principale non è mai nota a LastPass e non viene memorizzata o mantenuta da LastPass".
