I server di Lastpass sono stati violati da un attacco hacker (cracker). La dichiarazione è piuttosto preoccupante poiché il suo software di gestione password ha nella piattaforma cloud il suo elemento chiave. I suoi database cifrati contengono password, mail, l'elenco dei siti preferiti e dati sensibili degli utenti.
L'AD Joe Siegrist nel suo lungo post pubblicato sul sito ufficiale spiega che non ci sono ancora prove che confermino azioni di decodifica nei confronti negli account personali. Per altro le password master che li proteggono richiederebbero un lavoro lento e lunghissimo considerati gli algoritmi di protezione impiegati.
La nota dolente di questa situazione è che l'azienda si sta confrontando con il secondo attacco andato a buon fine in 4 anni. Ai tempi venne individuato un bug (cross-site scripting - XSS) nel sito che avrebbe potuto consentire il furto di dati.
"Siamo certi che gli algoritmi di cifratura che usiamo proteggeranno a sufficienza i nostri utenti. Per assicurare ulteriormente la vostra sicurezza, stiamo chiedendo la verifica via mail quando loggate da un nuovo dispositivo o indirizzo IP e stiamo suggerendo di aggiornare le password master", si legge nella mail recapitata a tutti i clienti.
Da rilevare infine che l'esperto di sicurezza Jeremi Gosney ha spiegato ad ArsTechnica i ridotti rischi di danni. La funzione crittografica di hash da 100mila interazioni impiegata da LastPass è una delle più potenti mai viste. Anche una Nvidia GTX Titan X, al momento la più veloce GPU impiegata per il cracking, è in grado di effettuare meno di 10mila interrogazioni per un singolo hash, vale a dire il codice alfanumerico creato dal sistema crittografico. Troppo poco per impensierire il sistema LastPass.
Nota: l'accesso ai server di LastPass e l'eventuale furto di dati non significa che i criminali si siano impossessati delle password. L'unico dato eventualmente accessibile è infatti il codice hash generato dal sistema crittografico, mentre la password vera e propria non viene mai conservata. A ogni accesso l'utente inserisce la password, il sistema la trasforma in un hash e lo confronta con quello memorizzato. Il sistema è da ritenersi sicuro proprio perché risalire dall'hash alla password è sostanzialmente impossibile, a meno di investire una grande quantità di tempo e risorse.