LastPass, aggiornamenti per l’hack di agosto: sottratti anche dati degli utenti

Another ICT Guy

LastPass, aggiornamenti per l’hack di agosto: sottratti anche dati degli utenti

LastPass ha pubblicato nel corso della giornata di ieri un aggiornamento che meglio delinea le conseguenze di un incidente di sicurezza avvenuto ad agosto, che a questo punto assume contorni ben più gravi rispetto a quanto originariamente tratteggiato.

Allora, infatti, LastPass affermò che gli aggressori erano riusciti, accedendo ad un account sviluppatore compromesso, a sottrarre parti del codice sorgente e non meglio precisate “informazioni tecniche proprietarie di LastPass”. In quel momento la società ritenne che le password principali dei clienti, le password crittografate, le informazioni personali e altri dati archiviati negli account dei clienti non furono interessate dall’attacco.

L’aggiornamento rilasciato nelle scorse ore mette la vicenda sotto un’altra prospettiva. LastPass ha comunicato agli utenti che l’accesso non autorizzato di agosto ha permesso agli hacker di venire a contatto con informazioni personali e ai relativi metadati, inclusi nomi di società, nomi degli utenti finali, indirizzi di fatturazione, indirizzi e-mail, numeri di telefono e indirizzi IP utilizzati dai clienti per accedere ai servizi LastPass. Non solo: gli hacker hanno anche potuto recuperare un backup dei dati degli utenti, comprensivi di dati non crittografati come URL di siti Web e campi di dati crittografati come nomi utente e password di siti Web, note sicure e dati compilati da moduli.

Karim Toubba, CEO di LastPass, ha spiegato: “Questi campi crittografati rimangono protetti con la crittografia AES a 256 bit e possono essere decrittografati solo con una chiave di crittografia univoca derivata dalla master password di ciascun utente utilizzando la nostra architettura Zero Knowledge. Ricordiamo che la master password non è mai nota a LastPass e non è salvata o mantenuta da LastPass. La cifratura e decifratura delle informazioni è compiuta solamente sul client locale LastPass”. Per chi volesse approfondire la conoscenza e il funzionamento della tecnologia Zero Knowledge, si rimanda al sito di LastPass.

Tra le precisazioni che LastPass ha fornito con l’aggiornamento, si sottolinea che le indagini non hanno fino ad ora dato motivo di credere che sia stato effettuato un accesso ai dati non crittografati delle carte di credito degli utenti. In ogni caso LastPass non memorizza i dati della carta di credito nella sua interezza, e quei dati che sono salvati vengono conservati in un ambiente cloud diverso da quello a cui è stato effettuato l’accesso non autorizzato.

Quanto accaduto ad agosto, infatti, parrebbe essere legata ad un altro incidente di sicurezza ai danni di Twilio, fornitore di servizi di autenticazione con sede a San Francisco. In quell’occasione furono sottratti dati appartenenti a 163 clienti della società, e la stessa mano dietro alla compromissione di Twilio ha poi colpito altre società tra cui LastPass.

Fonte: http://feeds.hwupgrade.it/

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *