Alla fine del 2022 LastPass è stato preso di mira da due attacchi informatici. Dopo le indagini, si è scoperto che queste due intrusioni erano collegate. Come risultato di questa combinazione di attacchi, i criminali informatici sono riusciti a rubare una grande quantità di dati sugli utenti LastPass. Soprattutto, gli hacker sono partiti con chiavi di crittografia di backup casseforti utente.
Segnalato per la sua negligenza, LastPass ha adottato misure per migliorare la sicurezza del suo gestore di password. L’editore ora obbliga i suoi utenti a configurare una password principale contenente almeno dodici caratteri. LastPass voleva inoltre garantire che la doppia autenticazione fosse configurata correttamente per tutti i suoi clienti.
Leggi anche: L’App Store autorizza un clone potenzialmente pericoloso di LastPass
Indirizzi URL finalmente crittografati
Più recentemente, ha annunciato il gestore delle password crittografia di tutti gli URL conservati nelle casseforti dei propri clienti. In un comunicato stampa pubblicato il 22 maggio 2024, LastPass spiega che è possibile “Crittografa in modo sicuro tutti i campi relativi agli URL nel tuo deposito senza alcuna esperienza utente negativa.” Quando gli utenti visitano un sito web, LastPass controlla l’URL di quel sito e lo confronta con quelli archiviati nella cassaforte delle password dell’utente. Se LastPass trova una corrispondenza, proporrà di inserire automaticamente le credenziali, ovvero nome utente e password, per accedere al sito.
Fin dalla sua nascita nel 2008, LastPass non ha crittografato gli URL memorizzati. Per spiegare questo fallimento l’azienda punta il dito i limiti tecnologici dell’epoca. Sedici anni fa non era possibile crittografare tutti gli indirizzi senza compromettere le prestazioni del servizio. Il processo richiedeva molta potenza di calcolo e memoria. Di fronte a questi “Vincoli informatici”, LastPass ha abbandonato l’idea di crittografare gli URL. Nel corso del tempo, i vincoli sono scomparsi, consentendo all’editore di aggiungere la crittografia.
Informazioni potenzialmente sensibili
Inoltre, l’editore assicura di sì “Abbiamo investito molto tempo e sforzi per rafforzare la nostra sicurezza” durante “ultimi 18 mesi”. Si tratta quindi di una nuova risposta agli attacchi informatici subiti a fine 2022. Durante le intrusioni, gli aggressori sono infatti riusciti a rubare l’elenco degli URL non crittografati conservati nelle casseforti dei propri clienti. Questo elenco di indirizzi fornisce informazioni preziose agli hacker che desiderano utilizzare le informazioni rubate per orchestrare altri attacchi.
Come nota LastPass, URL “contengono dettagli sulla natura degli account associati alle credenziali archiviate (ad esempio servizi bancari, e-mail, social media)”. Evidentemente gli hacker sapevano direttamente quali servizi avrebbero dovuto attaccare se fossero riusciti a decifrare le password. Inoltre, si è scoperto che l’hacking di LastPass ha portato all’hacking di diversi portafogli di criptovalute. Secondo Brian Krebs, un esperto di sicurezza informatica, grazie ai dati rubati da LastPass sono stati rubati anche 35 milioni di dollari in criptovalute.
Questo è il motivo per cui l’editore ha fatto ogni sforzo per aggiungere la crittografia dell’URL. Questa misura dovrebbe consentire “per migliorare la riservatezza” dei clienti LastPass, si legge nel comunicato stampa. La crittografia verrà eseguita in più fasi. Inizialmente, intorno a luglio 2024, LastPass crittograferà “hanno automaticamente i campi URL primari per gli account esistenti archiviati nei loro depositi, così come eventuali nuovi account.” Successivamente, il gestore delle password crittograferà i restanti campi dell’indirizzo durante la seconda metà dell’anno. LastPass specifica che l’utente non deve fare nulla per beneficiare di questa maggiore sicurezza.
-
