Tramite il blog ufficiale, LastPass, noto brand di password manager, ha confermato di aver subito una nuova violazione di sicurezza, attualmente sotto indagine da parte del team interno.
A quanto pare, dei soggetti non autorizzati hanno utilizzato delle informazioni ottenute durante un attacco precedente per ottenere l'accesso ad alcuni dati dei clienti dell'azienda.
LastPass ha rilevato delle attività insolite all'interno di un servizio di cloud storage di terzi, condiviso dall'azienda e dall'affiliata GoTo.
We recently detected unusual activity within a third-party cloud storage service, which is currently shared by both LastPass and its affiliate GoTo. Customer passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture. More info: https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK
— LastPass (@LastPass) November 30, 2022
LastPass si è affidata a Mandiant, nota azienda di cybersicurezza, per le indagini e ha comunicato l'incidente alle forze dell'ordine di competenza.
Il post sul blog ufficiale è firmato da Karim Toubba, CEO di LastPass, che ha dichiarato che l'azienda è "diligentemente al lavoro per valutare la portata dell'incidente e individuare le informazioni specifiche che hanno subito l'accesso [non autorizzato]". Nel frattempo, Toubba conferma che i prodotti e i servizi LastPass restano operativi al 100%.
L'azienda consiglia ai propri utenti di seguire le best practice delineate sul sito ufficiale relativamente a installazione e configurazione di LastPass.
Ad agosto, quando è stato confermato il primo attacco, l'azienda aveva confermato il furto di codice sorgente e informazioni tecniche. Successivamente, LastPass ha rivelato che i responsabili della violazione hanno mantenuto l'accesso interno ai sistemi per quattro giorni.
Ancora una volta, è consigliabile cambiare immediatamente la master password del proprio vault di LastPass, dal momento che l'azienda stessa non ha ancora la certezza di quali tipi di dati sono stati trafugati in questo recente attacco, nonostante l'azienda abbia rassicurato i propri utenti su Twitter circa l'architettura Zero Knowledge di LastPass, per cui le password dovrebbero restare crittografate e protette da occhi indiscreti.