Sembra non esserci pace per LastPass. Il noto password manager, infatti, ha confermato che un gruppo di cybercriminali è riuscito a rubare i vault criptati dei propri clienti, durante l'ultima violazione subita.
All'epoca dell'attacco, LastPass aveva dichiarato che le password non fossero a rischio, ma a quanto pare le cose sono molto diverse.
Attraverso un post sul blog ufficiale, il CEO Karim Toubba ha confermato che gli hacker hanno rubato una copia di backup dei dati sul vault dei clienti tramite chiavi di cloud storage trafugate a un dipendente dell'azienda.
LastPass ha anche ribadito che i vault dei clienti rimangono criptati e sono sbloccabili solo ed esclusivamente dalla master password dei proprietari, tuttavia l'azienda ha anche avvertito i propri clienti del fatto che i responsabili dell'attacco potrebbero tentare di ottenere tali master password tramite attacchi bruce-force e quindi decriptare le copie dei vault ottenuti.
Toubba ha specificato che i criminali hanno rubato una quantità significativa di dati dei clienti, fra cui nomi, indirizzi e-mail, numeri di telefono e alcuni dati di fatturazione. Di conseguenza, se siete utenti LastPass e ritenete che la vostra master password sia troppo facile da indovinare, il consiglio è quello di modificarla immediatamente. Stesso dicasi per le password contenute al suo interno, quantomeno quelle relative ai servizi più delicati, come home banking e app/servizi di identità digitale.
In generale, utilizzare un password manager è molto utile e può essere un accorgimento molto sicuro, a patto che la master password sia sufficientemente complessa da non essere indovinata facilmente, e soprattutto che sia riposta in un luogo sicuro e inaccessibile da parte di altre persone. Tuttavia, questo non basta. Occorre assicurarsi anche di non riutilizzare sempre la stessa password per i vari servizi a cui si è iscritti e, laddove possibile, abilitare l'autenticazione a due fattori.