LastPass rivela la violazione della sicurezza di agosto 2022
LastPass, produttore della popolare soluzione di gestione delle password, ha rivelato una violazione della sicurezza sul blog aziendale.
Secondo le informazioni pubblicate, LastPass ha notato “attività insolite” circa due settimane fa nell’ambiente di sviluppo. Un’indagine ha confermato che “una parte non autorizzata” ha ottenuto l’accesso a parti dell’ambiente di sviluppo dell’azienda; ciò è avvenuto tramite un account sviluppatore che era stato compromesso.
L’attore della minaccia è riuscito a ottenere “porzioni di codice sorgente e alcune informazioni tecniche proprietarie di LastPass”. I prodotti e i servizi non sono stati interessati e i dati degli utenti non sono stati in alcun momento in pericolo, secondo l’annuncio.
LastPass ha assunto una “azienda leader di sicurezza informatica e forense” per indagare sulla violazione. Sono state immediatamente implementate misure di contenimento e mitigazione e la società afferma di aver contenuto la violazione e implementato ulteriori misure di sicurezza. Non ha visto prove di ulteriori attività non autorizzate nell’ambiente di sviluppo o altrove.
LastPass rileva in una FAQ che i dati degli utenti non sono stati compromessi. Il modello di sicurezza a conoscenza zero dell’azienda garantisce che le password principali siano sicure, secondo l’azienda. LastPass consiglia agli utenti di seguire le migliori pratiche, incluso l’utilizzo dell’applicazione LastPass Authenticator dell’azienda. L’app aggiunge un secondo livello di autenticazione al processo di verifica.
La violazione della sicurezza dell’agosto 2022 non è il primo incidente del genere divulgato da LastPass. Nel 2015. LastPass è stato violato . A quel tempo, gli aggressori sono riusciti a rubare i dati degli utenti, inclusi indirizzi e-mail, promemoria password, hash di autenticazione e altri dati ottenuti.
Nel 2021 LastPass ha annunciato che diventerà una società indipendente . Sono state annunciate modifiche a LastPass Free, il piano gratuito del servizio di gestione delle password, che ha fatto migrare alcuni utenti ad altre soluzioni di gestione delle password, tra cui Bitwarden e KeePass .
LastPass non rivela ulteriori dettagli sulla violazione. I dati scaricati possono essere utilizzati per ideare ulteriori attacchi contro l’azienda o i suoi utenti?
Gli utenti del servizio e di qualsiasi altra soluzione di gestione delle password online devono seguire le migliori pratiche per proteggere i propri account. Una delle migliori opzioni include l’implementazione dell’autenticazione a due fattori. A seconda del servizio, potrebbero essere disponibili altre opzioni, inclusa la separazione dei database delle password.
Parole di chiusura
Sembra che la violazione della sicurezza dell’agosto 2022 divulgata da LastPass avesse una portata limitata. I dati degli utenti e l’ambiente di produzione non sono stati violati secondo la divulgazione.
Ora tu : usi un gestore di password? (via Nato )