Come abbiamo visto nel corso di tutto il 2022, i furti di dati e soprattutto di credenziali d’accesso è una tendenza che è andata ad intensificarsi sempre di più. Se i metodi d’attacco più noti, come il phishing, riescono ad andare a segno sui singoli individui come sulle aziende di ogni tipo e dimensione, quando l’attacco è rivolto verso un sistema di gestione delle password la questione si fa molto più grave. Questo è ciò che è successo lo scorso agosto a LastPass, un servizio di gestione delle password prodotto dall’azienda LogMeIn utilizzato da moltissimi utenti in tutto il mondo.
Se nel momento in cui è stato annunciato l’attacco si era minimizzato dicendo che non erano stati intaccati gli archivi con le chiavi d’accesso salvate, nei giorni scorsi è stato fatto sapere che il data breach è molto più pesante e potrebbe avere gravi ripercussioni. Inizialmente si era parlato solo di un accesso ingiustificato all’interno degli ambienti degli sviluppatori e non negli archivi, ma al termine di dicembre 2022 è arrivato un aggiornamento che parlava di un accesso riuscito ai dati dei backup dei clienti. Nel pacchetto di informazioni rubate, quindi, erano inclusi gli URL dei siti web ed un gran numero di altri dati che, l’azienda ci ha tenuto a precisare, sono rimasti criptati e quindi illeggibili.
La cosa che ha insospettito i più esperti, però, è un’appendice di LastPass in cui si invitavano gli utenti a non utilizzare le password principali per effettuare l’accesso su altri siti. Ovviamente ci saranno stati tanti utenti con password deboli per decriptare i pacchetti di credenziali rubati e proprio tali soggetti dovranno stare attenti ad eventuali attacchi brute force che potrebbero compromettere i loro account più importanti.
La sicurezza delle credenziali salvate su LastPass era stata aumentata dalle nuove policy del software che imponeva caratteri speciali ed altri accorgimenti per migliorare la creazione delle password. Questo di per sé non azzera i rischi correlati agli attacchi, ma perlomeno potrebbe rallentarli oppure imporre l’utilizzo di software appositi per forzare in modo brutale gli accessi. Un pericolo ulteriore è, per gli utenti, quello di campagne di phishing che mirano, facendo leva sul data breach, a far inserire le credenziali su interfacce finte per procedere ad un cambio password. Una volta inserite, ovviamente, queste verranno definitivamente trafugate e gli hacker avrebbero così modo di decriptare le chiavi salvate.
Per fermare queste preoccupazioni LastPass ha fatto sapere che non invierà mai email ai propri utenti richiedendo di cambiare le password. Nel blog dell’azienda invece si consiglia a tutti di procedere in autonomia qualora si sia notata qualche anomalia all’interno dei propri profili ed eventualmente cambiare le credenziali seguendo il percorso presente sui portali ufficiali. Una ulteriore problematica, in questo caso, è dettata dal fatto che l’attacco è accaduto quattro mesi fa, pertanto gli hacker avrebbero avuto molto tempo per aver effettuare attività illecite.
Fonte: 1
