Il proprietario di LastPass (precedentemente noto come LogMeIn), GoTo, martedì scorso ha rivelato che autori di minacce informatiche, non ben identificati, sono stati in grado di rubare backup crittografati dei dati di alcuni clienti insieme a una chiave di crittografia per alcuni di quei backup in un incidente del novembre 2022.
Prima di cominciare, cos’è LastPass per chi non lo sapesse
LastPass non è che un sito che permette di memorizzare le password dei propri account, secondo loro stessi, sarebbe una cassaforte virtuale per le proprie password, PIN e numeri di serie vari, peccato che se viene hackerato un sito con un database del genere, puoi facilmente immaginare quali potrebbero essere le conseguenze: violazioni su violazioni di account, perché si ha accesso…ai dati d’accesso.
Com’è avvenuto il furto telematico
La violazione, che ha preso di mira un servizio di cloud storage di terze parti, ha avuto un impatto sui prodotti Central, Pro, join.me, Hamachi e RemotelyAnywhere, ha affermato la società GoTo.
“Le informazioni interessate, che variano in base al prodotto, possono includere nomi utente di account, password salvate e con hash, una parte delle impostazioni di autenticazione a più fattori (MFA), nonché alcune impostazioni del prodotto e informazioni sulla licenza“, ha affermato Paddy Srinivasan di GoTo.
Inoltre, le impostazioni MFA relative a un sottoinsieme dei suoi clienti Rescue e GoToMyPC sono state compromesse (quindi accessibili da malintenzionati), sebbene non vi siano prove che i database crittografati associati ai due servizi siano stati estrapolati.
La società non ha rivelato quanti utenti sono stati colpiti, ma ha dichiarato che sta contattando direttamente le vittime dell’hackeraggio per fornire loro ulteriori informazioni e raccomandare alcuni “passaggi attuabili” per proteggere i loro account.
GoTo ha inoltre provveduto a reimpostare le password degli utenti interessati e a richiedere loro di autorizzare nuovamente le impostazioni MFA; ha affermato, oltretutto, che sta migrando i propri account su una piattaforma di gestione delle identità avanzata che afferma di offrire una sicurezza più solida.
Il fornitore di software aziendale ha sottolineato che memorizza tutti i dettagli della carta di credito e che non raccoglie informazioni personali come date di nascita, indirizzi e numeri di previdenza sociale (in Italia, per capirci, sarebbe il codice fiscale, sebbene tramite programmi presenti sul web non sia difficile riuscire a generarlo).
L’annuncio arriva quasi due mesi dopo che sia GoTo che LastPass hanno rivelato “attività insolite all’interno di un servizio di archiviazione cloud di terze parti” condiviso dalle due piattaforme.
LastPass, a dicembre 2022 (un mese fa, dalla stesura di questo articolo), ha anche rivelato che il furto digitale ha sfruttato le informazioni rubate da una precedente violazione avvenuta ad agosto dello stesso anno, che ha consentito a questo malintenzionato (o questi, gli autori sono ignoti) di rubare un’enorme quantità di dati dei clienti, incluso un backup dei loro depositi di password crittografati.
Le informazioni ottenute sono state “utilizzate per prendere di mira un altro dipendente, ottenendo credenziali e chiavi che sono state utilizzate per accedere e decrittografare alcuni volumi di archiviazione all’interno del servizio di archiviazione basato su cloud“, è stato dichiarato da GoTo.
Se usi un servizio del genere e questo è stato attaccato ecco cosa devi fare
Inutile dire che, se sei stato bersaglio dell’attacco al database di LastPass, la prima cosa che devi fare è cambiare una ad una le password, tutte quelle che hai memorizzato lì dentro per non dimenticarle: nessuna esclusa!
Per forza di cose dovrai cambiare anche quella dell’account di LastPass stesso.
Assicurati tra l’altro di avere una copia cartacea, su un foglio, su un quaderno, su un’agenda telefonica, non ha importanza, perché stai sicuro che in un supporto cartaceo fisico nessuno potrà rubartele.
Se hai paura che qualcuno veda il supporto cartaceo puoi valutare di fare un foglio Excel, un documento TXT o qualsiasi cosa tu desideri e salvarlo su un supporto esterno, ad esempio scheda SD o pennetta USB.
