In una recente violazione, le password di LastPass sono state esposte, tranne le password master dell'utente che rimangono sicure.
In un post sul blog pubblicato dal CEO di LastPass, Karim Toubba, a fine novembre, è stato rivelato che un attore minaccioso sconosciuto aveva accesso e copiato un backup basato su cloud dei dati della vault dei clienti l'8 agosto. Questa violazione ha portato al significativo compromesso dei dati dei clienti, interessando oltre 33 milioni di utenti registrati e più di 100.000 clienti aziendali.
Il backup di questi dati della vault dei clienti, oltre ai dati crittografati, contiene anche dati non crittografati. Questi dati non crittografati includono URL dei siti web, nomi delle aziende, indirizzi di fatturazione, indirizzi email, numeri di telefono e indirizzi IP. I campi crittografati nei dati copiati sono protetti con crittografia AES a 256 bit.
L'attore minaccioso potrebbe aver utilizzato vari metodi per accedere a questi dati, tra cui attacchi di phishing, stuffing delle credenziali o tentativi di forza bruta per indovinare le password master. Tuttavia, se si seguono le impostazioni predefinite della password master di LastPass, gli utenti potrebbero essere meno vulnerabili agli attacchi di indovinatura della password, poiché ci vorrebbe "millenni di anni" per indovinare una password master utilizzando la tecnologia generalmente disponibile per la rottura delle password.
È importante notare che LastPass non archivia o mantiene la password master. Al contrario, la chiave di crittografia per la password master di ciascun utente viene derivata dalla password master utilizzando l'architettura zero knowledge di LastPass. Ciò significa che nemmeno LastPass può accedere o decrittare le password master degli utenti.
Despite these measures, the escalation of the compromise suggests that LastPass failed to contain the breach and its aftermath. The identity of the unknown attacker who stole LastPass's cloud backup with customer data has not been publicly disclosed.
LastPass has confirmed the breach and is urging users to take certain actions to protect their accounts. If you are a LastPass user, it is recommended that you:
- Aggiorna la tua password master in una password forte e unica.
- Abilita l'autenticazione a due fattori per un'ulteriore sicurezza.
- Rivedi i segreti condivisi del tuo account e rimuovi quelli che non sono più necessari.
- Monitora i tuoi account per eventuali attività sospette.
Toubba ha rivelato l'ampiezza dei dati esposti tre settimane dopo l'annuncio iniziale, fornendo agli utenti maggiori informazioni sull'entità della violazione e sui passaggi che possono fare per proteggere i loro account. Nonostante ciò, l'incidente evidenzia l'importanza dell'utilizzo di password forti e uniche e dell'abilitazione di misure di sicurezza aggiuntive per proteggere i tuoi account online.
Leggi anche:
- La meravigliosa espansione della nebbia polverosa sconcerta gli astronomi vicino alle stelle supergiganti
- Intervista: una chiacchierata con Artur Tretjakevic di 18Peaches in the iGaming Sphere
- Lezioni dall'archivio di Sony Pictures WikiLeaks sul tema della sicurezza delle password
- Aggiornamento per GeForce Now di Nvidia: RTX 5080 ora disponibile per gli abbonati Ultimate, portando i vantaggi di Blackwell al cloud gaming.
