Gli ultimi giorni dell’anno per LastPass saranno sicuramente più frenetici del solito, soprattutto dopo che gli utenti che utilizzano il famoso password manager hanno iniziato a segnalare tentativi di accesso al loro account tramite master password da diverse località nel mondo, mettendo in allarme tutti coloro che utilizzano il noto password manager.
Le crescenti segnalazioni di questi tentavi di accesso sconosciuti hanno fatto subito pensare ad una possibile violazione di LastPass ma la realtà dei fatti è che al momento non si hanno ancora abbastanza dati per dirlo. Dalle poche informazioni a disposizione è stato fatto notare che questi tentativi di accesso sono stati fatti su account datati che utilizzano master password non aggiornate, forse stanno sfruttando una vecchia violazione di sicurezza di LastPass avvenuta anni fa (perchè non è la prima volta) per tentare di entrare in qualche account.
Nell’arco della giornata di martedì 28 dicembre, dopo la crescita delle segnalazioni da parte degli utenti, un portavoce di LastPass ha rilasciato una nota ufficiale sulla questione:
“LastPass ha esaminato le recenti segnalazioni di tentativi di accesso bloccati e riteniamo che l’attività sia correlata ad un tentativo di “credential stuffing”, in cui un malintenzionato tenta di accedere agli account utente (in questo caso, di LastPass) utilizzando indirizzi e-mail e password ottenuti da violazioni a terze parti relative ad altri servizi non affiliati. È importante sottolineare che, al momento, non abbiamo alcuna indicazione che l’accesso agli account sia stato eseguito correttamente o che il servizio LastPass sia stato altrimenti compromesso da una parte non autorizzata. Monitoriamo regolarmente questo tipo di attività e continueremo ad adottare misure volte a garantire che LastPass, i suoi utenti e i loro dati rimangano protetti e al sicuro“
Aspettiamo i prossimi giorni per avere notizie più sicure sull’accaduto, per evitare questi tentativi di “credential stuffing” è importante evitare di utilizzare password uguali per servizi differenti arginando il problema, per il momento se state utilizzando LastPass vi conviene tenere sotto controllo gli accessi al vostro account, modificare il prima possibile la master password e per essere scrupolosi anche le password dei vari servizi associati che avete salvato all’interno del password manager, infine attivare l’autenticazione a due fattori per rendere più sicuro l’accesso al vostro account.
AGGIORNAMENTO
LastPass, dove aver eseguito diversi controlli sull’accaduto ha voluto far chiarezza sulla questione il prima possibile con questo nuovo comunicato stampa:
“Per ulteriore cautela, abbiamo continuato a indagare nel tentativo di determinare cosa causasse l’attivazione delle e-mail di avviso di sicurezza automatizzate dai nostri sistemi. Da allora la nostra indagine ha scoperto che alcuni di questi avvisi di sicurezza, che sono stati inviati a un sottoinsieme limitato di utenti LastPass, probabilmente sono stati attivati per errore. Di conseguenza, abbiamo modificato i nostri sistemi di avviso di sicurezza e da allora questo problema è stato risolto. Questi avvisi sono stati attivati sulla base dell’impegno di LastPass a difendere i propri clienti da malintenzionati e tentativi di credential stuffing. È anche importante ribadire che il modello di sicurezza a conoscenza zero di LastPass significa che in nessun momento LastPass memorizza, conosce o ha accesso alle password principali degli utenti. Continueremo a monitorare regolarmente attività insolite o dannose e, se necessario, continueremo ad adottare misure volte a garantire che LastPass, i suoi utenti e i loro dati rimangano protetti e al sicuro“.
Gabor Angyal, vicepresidente Engineering di LastPass
Dopo questa comunicazione, tutti coloro che utilizzano il servizio di LastPass possono tirare un sospiro di sollievo in quanto non c’è stato nessuna violazione della sicurezza degli account che hanno ricevuto la mail riguardante un tentativo di accesso tramite master password, ma si è trattato solamente di un errore tecnico che è stato prontamente risolto, inoltre la società ha voluto far chiarezza tramite un articolo sul loro blog ufficiale riguardante la questione “conoscenza zero”, ovvero che il servizio da loro offerto non memorizza e non è mai a conoscenza delle password principali degli account dei propri utenti.