Ad agosto, LastPass aveva segnalato un furto di dati. L'azienda produttrice del noto password manager aveva confermato che i dati sottratti includevano una porzione del codice sorgente, tuttavia, ha rassicurato i propri utenti, dichiarando che le master password non erano state compromesse.
LastPass è tornata sulla vicenda, affermando che gli hacker responsabili dell'attacco avrebbero avuto accesso ai sistemi aziendali per quattro giorni, prima che la violazione venisse rilevata e neutralizzata. In ogni caso, il CEO Karim Troubba ha ribadito che le analisi e le indagini condotte a seguito dell'incidente non avrebbero rilevato prove di possibili violazioni nei confronti dei dati e dei vault dei clienti.
We recently detected unusual activity within portions of the LastPass development environment and have initiated an investigation and deployed containment measures. We have no evidence that this involved any access to customer data. More info: https://t.co/cV8atRsv6d pic.twitter.com/HtPLvK0uEC
— LastPass (@LastPass) August 25, 2022
In sostanza, gli hacker hanno ottenuto l'accesso esclusivamente all'ambiente di sviluppo, che è separato sia a livello software che hardware dall'ambiente di produzione, di conseguenza, le misure di sicurezza adottate dall'azienda avrebbero impedito agli intrusi di accedere ai dati dei clienti, incluse password principali e vault criptati.
Gli hacker, dopo aver ottenuto l'accesso tramite un endpoint compromesso (appartenente a uno sviluppatore di LastPass), hanno impersonato lo sviluppatore sfruttando con successo l'autenticazione a più fattori. Ciononostante, non sono riusciti a inoculare codice dannoso, poiché il passaggio dallo sviluppo alla produzione è regolamentato in maniera capillare, con revisioni, test e convalida, inoltre, proprio per la separazione dei due ambienti e per il fatto che solo il team Build Release è autorizzato a effettuare il push del codice.
Di conseguenza, l'azienda ha confermato che non c'è alcuna prova di possibili compromissioni a danno degli utenti. In ogni caso, cambiare la master password potrebbe essere un'ulteriore misura di sicurezza da adottare per una maggiore cautela.
