Per creare password forti e uniche è necessario utilizzare un servizio per la gestione delle password. Se avete deciso di puntare su un’opzione gratuita, è probabile che la vostra scelta sia ricaduta su LastPass. Il 22 dicembre, però, l’azienda ha diffuso un annuncio che ha messo in allerta i 25,6 milioni di utenti del suo servizio: l’incidente di sicurezza di cui la società aveva dato notizia nei giorni precedenti (il 30 novembre, per l’esattezza) era in realtà un’enorme e preoccupante violazione dei dati, che ha esposto le cassaforti digitali contenenti le password crittografate – i gioielli della corona di qualsiasi password manager – insieme ad altri dati degli utenti.
I dettagli forniti da LastPass a ridosso di Natale hanno indotto i professionisti della sicurezza a chiedere agli utenti di passare ad altri servizi. A più di una settimana dalla rivelazione, l’azienda non ha fornito ulteriori informazioni ai clienti.
L’attacco a LastPass
L’azienda non ha nemmeno chiarito quando esattamente è avvenuta la violazione. L’attacco sembra essersi verificato dopo l’agosto del 2022, ma la tempistica precisa è significativa, considerando che una delle domande principali è quanto tempo servirà agli aggressori per iniziare a decodificare o indovinare le chiavi usate per criptare le password rubate. Se i criminali informatici fossero in possesso dei dati rubati da tre o quattro mesi, la situazione sarebbe decisamente più urgente per gli utenti LastPass interessati dalla violazione rispetto per esempio a uno scenario in cui gli aggressori avessero a disposizione le informazioni solo da poche settimane.
“A mio parere, stanno facendo un lavoro di prim’ordine nel rilevare gli incidenti e un lavoro davvero, davvero pessimo nel prevenire i problemi e nel rispondere in modo trasparente”, spiega Evan Johnson, un ingegnere della sicurezza che ha lavorato in LastPass più di sette anni fa.
La violazione ha interessato anche altri dati dei clienti, tra cui nomi, indirizzi email, numeri di telefono e alcune informazioni di fatturazione. LastPass è criticato da tempo per le modalità con cui memorizza i dati nei suoi archivi. L’azienda utilizza un formato ibrido in cui elementi come le password sono criptati mentre altre informazioni, come gli url, non lo sono. Gli url in chiaro potrebbero dare agli aggressori un’idea di cosa c’è all’interno di un archivio e aiutarli a stabilire quali cassaforti digitali forzare per prime. Gli archivi, che sono protetti da una password principale (la cosiddetta “master password”) selezionata dall’utente, rappresentano un problema per gli utenti che cercano di tutelarsi dopo la violazione, dal momento che cambiare ora la password principale di LastPass non servirebbe comunque a proteggere i dati che sono già stati rubati. O, come dice Johnson, “le persone che hanno violato LastPass hanno a disposizione un tempo illimitato per compiere attacchi offline indovinando le password e tentando di recuperare le chiavi master di utenti specifici“.
Cosa fare per proteggersi
Questo significa che gli utenti di LastPass dovrebbero passare al setaccio le proprie cassaforti digitali e adottare misure supplementari per proteggersi, come per esempio cambiare tutte le proprie password.
La prima cosa da fare è attivare l’autenticazione a due fattori sul maggior numero possibile di account, in particolare per quelli più importanti come la posta elettronica, i servizi finanziari e gli account dei social media che utilizzate di più. In questo modo, anche se gli aggressori dovessero compromettere le password dei vostri profili, non potranno accedervi senza il codice monouso o la chiavetta per l’autenticazione che avete aggiunto come secondo fattore. Successivamente, cambiate le password di tutti gli account sensibili e di valore. Per ultima cosa, modificate tutte le altre password memorizzate nell’archivio di LastPass.
Mentre adottate queste precauzioni (o perlomeno il più possibile), i tempi sono maturi per passare a un nuovo gestore di password. Potete aggiungere account a un nuovo servizio man mano che apportate le modifiche.
“Al cento per cento: le persone dovrebbero passare ad altri password manager – ha dichiarato un esperto ingegnere di sicurezza, che ha chiesto di non rimanere anonimo per via dei suoi rapporti professionali con alcuni membri del team di sicurezza di LastPass –. Non sono riusciti a fare l’unica cosa che dovrebbero garantire: l’archiviazione sicura delle credenziali su cloud“.
I professionisti che si occupano di sicurezza sono concordi nel sottolineare che la la violazione di LastPass non dovrebbe scoraggiare l’uso dei gestori di password in generale. Chi decidesse invece di continuare a usare il servizio dovrebbe comunque cambiare la password del proprio archivio su LastPass, attivare l’autenticazione a due fattori su tutti gli account in cui è disponibile e modificare tutte le password del proprio archivio, anche nel caso in cui non volesse migrare verso altri password manager.
“Da persona che ha esperienza nella gestione e nella comunicazione delle violazioni di dati nell’Unione europea, direi che la strategia di comunicazione scelta da LastPass può minare la fiducia degli utenti – dice Lukasz Olejnik, ricercatore e consulente indipendente che si occupa di privacy –. Anche la tempistica è un grosso problema. Perché farlo proprio prima delle vacanze di fine anno, quando l’indagine iniziale è iniziata mesi fa?“.