ATTENZIONE!!! Il servizio di gestione delle password LastPass è stato vittima di un furto di dati.
A segnalarlo è la stessa società, secondo cui lo scorso venerdì venivano osservate delle "attività sospette" sulle reti relative al servizio.
Al momento non sembra che siano stati rubati dati specifici fra quelli più sensibili degli utenti, tuttavia gli aggressori hanno avuto modo di ottenere gli indirizzi email di alcuni utenti iscritti e alcuni dati relativi alle master password utilizzate.
Non sappiamo ancora come l'attacco abbia avuto origine, e quali metodi siano stati utilizzati, tuttavia sembra che gli aggressori abbiano praticato un attacco di social engineering e altre strategie non troppo complesse. LastPass ha sottolineato di aver chiuso ogni attività sospetta lo scorso venerdì, ma non abbiamo informazioni sulla durata dell'attacco, e non sappiamo quanto gli aggressori siano riusciti a mantenere la connessione con i sistemi della società.
I dati della stragrande maggioranza degli utenti dovrebbero essere comunque al sicuro. La compagnia ha scritto che è certa dell'efficacia delle misure di crittografie adottate, "sufficienti per proteggere la maggior parte degli utenti". Nonostante ciò, LastPass sta adottando manovre di sicurezza ancora più aggressive per garantire che non ci siano ulteriori perdite di dati, e sta inoltre informando tutti gli utenti potenzialmente coinvolti tramite email.
Un attacco di questo tipo è solitamente più dannoso quando non viene scoperto in tempo, quindi la diffusione della nota di sicurezza dovrebbe già rassicurare gli utenti del servizio. In più, fra i dati violati troviamo le master password protette da funzioni hashing e salting, certamente sensibili, ma difficili da decifrare.
A rischio potrebbero essere quelle password meno ragionate e sicure, già deducibili combinando gli hash e i dati sensibili rubati (informazioni personali, risposte alle domande di sicurezza).
Proprio per questo, LastPass consiglia di aggiornare al più presto la master password con cui si accede al servizio, di attivare il log-in a due fattori e di abilitare la verifica via e-mail da ogni log-in che avviene da nuove località, in modo da aggirare eventuali pericoli dovuti al potenziale furto dei propri dati sensibili.
0 commenti:
Posta un commento