LastPass, azienda nota per l'omonimo password manager, ha subito una violazione di sicurezza che ha coinvolto anche l'ambiente di sviluppo, con il furto di dati tecnici e, addirittura, di una porzione del codice sorgente del software.
La violazione sarebbe partita da un account sviluppatore compromesso, come ha dichiarato l'azienda stessa attraverso un post sul blog: "Due settimane fa, abbiamo rilevato attività insolite all'interno di alcune parti dell'ambiente di sviluppo di LastPass. Siamo giunti alla conclusione che un soggetto non autorizzato abbia ottenuto l'accesso all'ambiente di sviluppo di LastPass tramite un unico account sviluppatore compromesso e abbia trafugato parti del codice sorgente e alcuni dati tecnici proprietari di LastPass. I nostri prodotti e servizi funzionano normalmente".
L'azienda ha adottato subito le dovute misure di riduzione dei rischi e di contenimento, adottando poi misure avanzate di sicurezza.
Cannot get X.com oEmbed
LastPass sostiene che le Master Password degli utenti non siano state compromesse, dal momento che non vengono mai memorizzate, restando sconosciute all'azienda, per via dell'architettura Zero Knowledge adottata da LastPass.
Inoltre, l'azienda non ha riscontrato accessi non autorizzati ai dati dei clienti, di conseguenza l'incidente non dovrebbe avere alcun impatto sulla regolare operatività delle applicazioni e dei servizi rivolti agli utenti.
Detto questo, se avete un account LastPass e volete comunque adottare un approccio volto alla massima cautela, potrebbe essere opportuno cambiare la Master Password (sebbene l'azienda abbia confermato di non tenere alcuna traccia di essa). Indipendentemente dal caso specifico, poi, un'altra misura che vale la pena adottare, in termini generali, è l'autenticazione a più fattori. LastPass offre anche l'autenticazione senza password e altre misure di sicurezza.
In generale, vi consigliamo di attivare sempre l'autenticazione a due fattori, laddove disponibile.