LastPass ritratta: nessun episodio di credential stuffing, è stato un errore tecnico

Nei giorni scorsi è circolata l'ipotesi di una violazione di sicurezza per LastPass, dopo che diversi utenti hanno segnalato sul web di aver ricevuto notifiche di utilizzo della master password da parte di terzi. La società ha inizialmente rilasciato una dichiarazione affermando che le prime indagini non hanno rilevato elementi che possano indicare una violazione della sicurezza e che l'accaduto avrebbe avuto origine da un episodio di "credential stuffing", ovvero l'impiego di combinazioni nome utente-password raccolti dalla violazione di altri servizi non correlati, e utilizzate su altri servizi nel tentativo di accedere agli account utente.

Tuttavia svariati utenti hanno affermato sui canali social di aver utilizzato master password univoche per i loro account LastPass, mai usate in precedenza su altre piattaforme. Nel corso della giornata di ieri la società ha ulteriormente chiarito la situazione, confutando quanto dichiarato in un primo momento e affermando che si sarebbe trattato in realtà di un errore tecnico.

Gabor Angyal, vicepresidente Engineering per LastPass, ha dichiarato:

"Per ulteriore cautela, abbiamo continuato a indagare nel tentativo di determinare cosa causasse l'attivazione delle e-mail di avviso di sicurezza automatizzate dai nostri sistemi. Da allora la nostra indagine ha scoperto che alcuni di questi avvisi di sicurezza, che sono stati inviati a un sottoinsieme limitato di utenti LastPass, probabilmente sono stati attivati ​​per errore. Di conseguenza, abbiamo modificato i nostri sistemi di avviso di sicurezza e da allora questo problema è stato risolto. Questi avvisi sono stati attivati ​​sulla base dell'impegno di LastPass a difendere i propri clienti da malintenzionati e tentativi di credential stuffing. È anche importante ribadire che il modello di sicurezza a conoscenza zero di LastPass significa che in nessun momento LastPass memorizza, conosce o ha accesso alle password principali degli utenti. Continueremo a monitorare regolarmente attività insolite o dannose e, se necessario, continueremo ad adottare misure volte a garantire che LastPass, i suoi utenti e i loro dati rimangano protetti e al sicuro".

La società ha inoltre pubblicato un post sul blog ufficiale dove, oltre a spiegare l'accaduto, approfondisce anche il modello a "conoscenza zero", suggerendo inoltre agli utenti di utilizzare una password robusta e univoca e, per coloro i quali preferiscono proteggersi con un ulteriore livello di sicurezza, di abilitare l'autenticazione a più fattori.