LastPass, anche i backup dei clienti sono stati rubati

LastPass
(Immagine:: LastPass)

Un altro aggiornamento sulla recente violazione dei dati di LastPass svela altre notizie potenzialmente negative per gli utenti del popolare password manager

Paddy Srinivasan, CEO di GoTo, società madre di LastPass, ha rivelato in un post sul blog (Si apre in una nuova scheda) che gli aggressori che hanno preso di mira il servizio di cloud storage condiviso da entrambe le società, e sono poi riusciti a sottrarre i backup crittografati relativi a una serie di prodotti.

Questi prodotti includono Central, Pro, join.me, Hamachi e RemotelyAnywhere.

Chiavi di crittografia rubate

Oltre ai backup crittografati, gli aggressori hanno rubato anche una chiave di crittografia per "una parte" dei backup crittografati, ha aggiunto Srinivasan.

I dati ora a rischio comprendono nomi di account, password (sottoposte a salt & hash), una parte delle impostazioni dell'autenticazione a più fattori (MFA) e alcune impostazioni di prodotti e informazioni sulle licenze. I dati bancari o delle carte di credito non fanno parte del bottino (almeno per ora, per quanto ne sappiamo). 

Anche le date di nascita, gli indirizzi di casa e i numeri di previdenza sociale degli utenti sono stati dichiarati sicuri, in quanto GoTo non li memorizza.

Inoltre, un "piccolo sottoinsieme" di utenti di Rescue e GoToMyPC ha subito un impatto sulle impostazioni MFA. I database crittografati, tuttavia, non sarebbero stati sottratti.

Sebbene tutte le password degli account siano state sottoposte a salting ed hashing "in conformità con le migliori pratiche", GoTo ha comunque resettato le password degli utenti interessati, chiedendo loro di riautorizzare le impostazioni MFA, ove possibile. L'amministratore delegato ha inoltre dichiarato che l'azienda sta migrando gli account interessati su una piattaforma di gestione dell'identità migliorata per garantire una maggiore sicurezza e opzioni di autenticazione e sicurezza basate sul login più solide.

Srinivasan ha confermato che i clienti interessati sono stati contattati direttamente.

LastPass ha riferito per la prima volta di aver subito una violazione dei dati nel novembre 2022. Un'indagine iniziale ha stabilito che gli hacker sono riusciti a rubare la cassaforte dei clienti, che è sostanzialmente la lista di password. Tuttavia, gli archivi stessi sono criptati, il che significa che per i malviventi non sarà così facile leggerne il contenuto.

"Questi campi criptati rimangono protetti dalla crittografia AES a 256 bit e possono essere decifrati solo con una chiave di crittografia unica derivata dalla password principale di ogni utente, utilizzando la nostra architettura Zero Knowledge", ha dichiarato Karim Toubba, CEO di LastPass. "Come promemoria, la password principale non è mai nota a LastPass e non viene memorizzata o mantenuta da LastPass".

Valerio Porcu

Valerio Porcu è Redattore Capo e Project Manager di Techradar Italia. È da sempre ossessionato dai gadget e dagli oggetti tecnologici che cambiano la nostra vita quotidiana, e dai primi anni 2000 ha deciso di raccontarla. Oggi è un giornalista con anni di esperienza nel settore tecnologico, e ha ancora la voglia di trovare le chiavi di lettura giuste, per capire davvero in che modo la tecnologia può rendere migliore la nostra vita quotidiana.

Con il supporto di