Hackerata la società che gestisce le password di 30 milioni di persone

LastPass, uno dei gestori di password più popolari al mondo, ha confermato di aver avuto un “incidente di sicurezza”, cioè, perdìla diversamente, di essere stata hackerata. Un incidente molto grave per chi gestisce la sicurezza altrui.

La scorsa settimana l’azienda ha iniziato ad avvisare i suoi utenti di un “recente incidente di sicurezza” in cui una “parte non autorizzata” ha ottenuto l’accesso a un account di sviluppatore e ha avuto accesso a parti del codice sorgente del suo gestore di password e ad “alcune informazioni tecniche proprietarie di LastPass”, secondo quanto riportato da The Verge.

L’azienda ha dichiarato che è stata rubata una parte del codice sorgente, ma che non sono state sottratte password.

Nella sua email ai clienti ha scritto: “Due settimane fa, abbiamo rilevato alcune attività insolite all’interno di porzioni dell’ambiente di sviluppo di LastPass. Dopo aver avviato un’indagine immediata, non abbiamo riscontrato alcuna prova che questo incidente abbia comportato l’accesso ai dati dei clienti o ai caveau delle password crittografate”.

Ha proseguito: “Abbiamo determinato che una parte non autorizzata ha avuto accesso a porzioni dell’ambiente di sviluppo di LastPass attraverso un singolo account di sviluppatore compromesso e ha prelevato porzioni di codice sorgente e alcune informazioni tecniche proprietarie di LastPass. I nostri prodotti e servizi funzionano normalmente”.

“In risposta all’incidente, abbiamo messo in atto misure di contenimento e mitigazione e abbiamo ingaggiato un’azienda leader nel campo della sicurezza informatica e della forensics. Mentre la nostra indagine è in corso, abbiamo raggiunto uno stato di contenimento, implementato ulteriori misure di sicurezza e non vediamo ulteriori prove di attività non autorizzate”, conclude la lettera.

In una FAQ allegata in fondo alla lettera, l’azienda afferma che le password “Master” degli utenti non sono state compromesse: “Questo incidente non ha compromesso la vostra Master Password. Non memorizziamo né veniamo a conoscenza della vostra password principale. Utilizziamo un’architettura Zero Knowledge standard del settore che garantisce che LastPass non possa mai conoscere o accedere alla Master Password dei nostri clienti”.

L’azienda ha inoltre dichiarato che non sono stati sottratti dati dai caveau dei clienti perché l’hack è avvenuto nell’ambiente degli sviluppatori. Nella lettera si legge: “Questo incidente si è verificato nel nostro ambiente di sviluppo. Le nostre indagini non hanno mostrato alcuna prova di un accesso non autorizzato ai dati criptati del caveau. Il nostro modello di zero knowledge garantisce che solo il cliente abbia accesso alla decodifica dei dati del caveau”. Comunque questo incidente mostra la fragilità degli enti a cui affidiamo la sicurezza delle nostre password e comunicazioni elettroniche.