Attenzione a LastPass, possibile violazione di sicurezza per le master password [AGGIORNATA]

Attenzione a LastPass, possibile violazione di sicurezza per le master password [AGGIORNATA]

Alcuni utenti del servizio di gestione password stanno rilevando accessi non autorizzati. Ancora non si conosce la portata del problema e le cause

di pubblicata il , alle 16:16 nel canale Sicurezza
 

Gli utenti di LastPass stanno segnalando tentativi di accesso al proprio account con l'uso di master password corrette provenienti da varie località, differenti da quelle in cui si trovano gli utenti, il che fa sospettare una possibile violazione di sicurezza per il servizio di gestione delle password.

Le segnalazioni si riscontrano sul forum di Hacker News, dove diversi utenti affermano che le loro master password di LastPass sembrano essere compromesse. Anche su Twitter iniziano a circolare le prime segnalazioni. Attualmente non si conosce il modo in cui siano circolate le password, ma tra gli utenti che si ritrovano vittime in questa situazione stanno emergendo alcuni elementi ricorrenti.

La maggior parte delle violazioni sembra infatti essere a carico di account obsoleti, e cioè non utilizzati da diverso tempo e con password mai aggiornate. Al momento però non è chiaro quanto estesa possa essere la violazione e se LastPass sia effettivamente sotto attacco. Dati i contorni che stanno emergendo, è possibile che si tratti di una violazione avvenuta in precedenza, anche molto in là nel tempo.

LastPass non ha ancora rilasciato una posizione ufficiale nel momento in cui scriviamo, ma nel frattempo il consiglio che si può dare agli utenti del servizio LastPass è quello di cambiare tutte le loro password e la master password a protezione del servizio, abilitare l'autenticazione a due fattori e prestare attenzione ad eventuali accessi sospetti ai propri account.

Aggiornamento 28-12-2021, ore 20:03 - Un portavoce di LastPass ha rilasciato questa nota ufficiale: "LastPass ha esaminato le recenti segnalazioni di tentativi di accesso bloccati e riteniamo che l'attività sia correlata ad un tentativo di "credential stuffing", in cui un malintenzionato tenta di accedere agli account utente (in questo caso, di LastPass) utilizzando indirizzi e-mail e password ottenuti da violazioni a terze parti relative ad altri servizi non affiliati. È importante sottolineare che, al momento, non abbiamo alcuna indicazione che l'accesso agli account sia stato eseguito correttamente o che il servizio LastPass sia stato altrimenti compromesso da una parte non autorizzata. Monitoriamo regolarmente questo tipo di attività e continueremo ad adottare misure volte a garantire che LastPass, i suoi utenti e i loro dati rimangano protetti e al sicuro".

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
insane7428 Dicembre 2021, 16:24 #1
non è la 1a volta che "bucano" LastPass.
io da un annetto, dopo l'ennesimo problema di sicurezza, l'ho abbandonato passando a 1Password (che, almeno da quello che ho trovato in rete, pare decisamente più sicuro e con una storia "migliore" in merito alla sicurezza. poi si sa, nessuno è inviolabile).
Falcon8828 Dicembre 2021, 16:30 #2

I miei dubbi su questi gestori password online erano fodnati.

Non mi sono mai fidato di usare un gestore password online, mai usati, uso solamente keepass2 offline, il resto delle password meno importanti tramite firefox.
Cr4z3328 Dicembre 2021, 16:40 #3
Se non lo avete ancora fatto, attivate il 2FA e siete a posto.
Silent Bob28 Dicembre 2021, 17:08 #4
mai usato questi prodotti, ma immagino che sia un qualcosa utile a tanti, certo non è un buon segno quando un gestore di psw si fa bucare così.
Haran Banjo28 Dicembre 2021, 17:16 #5
La Master pwd non deve essere l'unico fattore autenticante bisogna che ci sia almeno anche una conferma di un codice OTP via SMS.
Sandro kensan28 Dicembre 2021, 18:12 #6
Originariamente inviato da: Falcon88
Non mi sono mai fidato di usare un gestore password online, mai usati, uso solamente keepass2 offline, il resto delle password meno importanti tramite firefox.


Vada per Firefox e il suo gestore delle password. Io uso quello che praticamente è un gestore off line con le password criptate uploadate nel cloud. Quindi se si perde la password di firefox-cloud si perde il backup. Localmente ho tutte le password.
principe6928 Dicembre 2021, 18:42 #7
Originariamente inviato da: Cr4z33
Se non lo avete ancora fatto, attivate il 2FA e siete a posto.


Originariamente inviato da: Haran Banjo
La Master pwd non deve essere l'unico fattore autenticante bisogna che ci sia almeno anche una conferma di un codice OTP via SMS.


esatto!con l'autenticazione a 2 fattori mi sento tranquillo,ho la versione a pagamento di lastpass
Muterecords28 Dicembre 2021, 21:56 #8
Master password alfanumerica complessa da almeno 20 caratteri e Yubikey per l'autenticazione.
WarSide29 Dicembre 2021, 12:06 #9
Felice utilizzatore di 1Password ormai da anni, mai un problema con client android, ios, win, macos, chrome e ff. Vale tutti i soldi spesi

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^