Nessuno è al sicuro: attacco hacker al gestore di password più famoso al mondo

L’incubo si avvera? Metto tutte le password in un archivio ma poi un hacker… Secondo la società non c’è da preoccuparsi ma ecco cosa fare per cautelarsi sempre

Netflix e Gmail sono avvertiti. LastPass, gestore di password forse più famoso al mondo, fornisce un servizio a oltre 33 milioni di persone, ha rivelato un recente attacco hacker che ha violato i propri sistemi rubando il codice sorgente e le informazioni proprietarie. Secondo l’agenzia di stampa internazionale Bloomberg, LastPass gestisce automaticamente password complesse anche per Netflix e Gmail, in modo che i clienti non debbano inserire manualmente le proprie credenziali di accesso. LastPass genera e archivia password difficili da decifrare e generate automaticamente per più account. Eppure l’hacker è entrato. 

LastPass è un programma freeware per la gestione delle password web, disponibile anche come componente aggiuntiva per Chrome, Internet Explorer, Firefox, Safari e Opera. Il motto della società è: “Metti il pilota automatico alle password! Goditi le cose che più ami, a rimuovere qualsiasi ostacolo ci pensa LastPass!”. 
Sul web tra app e siti internet per accedere ad ogni servizio è necessaria una password. Sono nati così i gestore di password come LastPass per facilitare il lavoro. Cosa fanno? In un archivio digitale memorizzano tutte le password che una persona ha e le proteggono con una sola password principale. In questo modo, il soggetto deve solo ricordare una password per accedere a tutti i suoi account. 
Il livello di sicurezza è alto anche se di fatto ha preso forma l'incubo legato proprio a servizi di questa natura: inserisco dentro il sistema tutte le password e tutti gli account per farmeli gestire automaticamente da un servizio ma se che poi qualche mal intenzionato entra in quello e ruba tutto?

Secondo la società LastPass non c’è da preoccuparsi, nessuna password è stata violata o acquisita e la violazione e gli utenti non dovrebbero agire per proteggere i propri account. Lo scrivono in un post del 25 agosto. 
Il sito web Bleeping Computer che si occupa di sicurezza informatica ha riferito di aver chiesto a LastPass informazioni sulla violazione due settimane fa.

Si è ipotizzato sui social media che gli hacker abbiano potuto accedere alle chiavi dei depositi di password, dopo aver rubato il codice sorgente e le informazioni proprietarie.
Un'indagine ha stabilito che una "parte non autorizzata" è entrata nell’ambiente di sviluppo, che è il software che i dipendenti utilizzano per costruire e mantenere il prodotto LastPass, ma l’hacker sarebbe stato solo in grado di ottenere l'accesso tramite l'account di un singolo sviluppatore compromesso. Infatti è sempre molto difficile accedere alle password, sostengono i tecnici della società, anche se si possiede un codice sorgente.

In un comunicato LastPass ha rassicurato i propri utenti. Ha spiegato che sono state implementate "misure di contenimento e mitigazione", oltre al coinvolgimento di "un'importante azienda di sicurezza informatica e forense". LastPass ha hanno raccontato che l'indagine su quanto accaduto è ancora in corso, ma che è stato raggiunto "uno stato di contenimento" grazie all'implementazione di ulteriori misure di sicurezza rafforzate. Al momento non vi sono prove di attività non autorizzate.

Non sono state però fornite altre informazioni sull'attacco e su come gli hacker abbiano potuto compromettere l'account dello sviluppatore in oggetto, così come nessun dettaglio è stato rilasciato circa il codice sorgente sottratto. A quanto pare l'attacco è avvenuto diversi giorni fa, con la società che prima di rendere noto l'accaduto ha provveduto a mettere in atto tutte le contromisure necessarie.

In questi casi, al di là della profilassi di LastPass e le rassicurazioni della società, è sempre bene attivare l'autenticazione a due fattori così da proteggere al meglio gli account gestiti con il servizio e mantenere alta l'attenzione per monitorare eventuali attività sospette o accessi non autorizzati agli account.