LastPass ritratta: nessun episodio di credential stuffing, è stato un errore tecnico

LastPass ritratta: nessun episodio di credential stuffing, è stato un errore tecnico

La società ha condotto ulteriori verifiche dopo che alcuni utenti hanno segnalato di non aver mai usato la master password per altri servizi

di pubblicata il , alle 09:18 nel canale Sicurezza
 

Nei giorni scorsi è circolata l'ipotesi di una violazione di sicurezza per LastPass, dopo che diversi utenti hanno segnalato sul web di aver ricevuto notifiche di utilizzo della master password da parte di terzi. La società ha inizialmente rilasciato una dichiarazione affermando che le prime indagini non hanno rilevato elementi che possano indicare una violazione della sicurezza e che l'accaduto avrebbe avuto origine da un episodio di "credential stuffing", ovvero l'impiego di combinazioni nome utente-password raccolti dalla violazione di altri servizi non correlati, e utilizzate su altri servizi nel tentativo di accedere agli account utente.

Tuttavia svariati utenti hanno affermato sui canali social di aver utilizzato master password univoche per i loro account LastPass, mai usate in precedenza su altre piattaforme. Nel corso della giornata di ieri la società ha ulteriormente chiarito la situazione, confutando quanto dichiarato in un primo momento e affermando che si sarebbe trattato in realtà di un errore tecnico.

Gabor Angyal, vicepresidente Engineering per LastPass, ha dichiarato:

"Per ulteriore cautela, abbiamo continuato a indagare nel tentativo di determinare cosa causasse l'attivazione delle e-mail di avviso di sicurezza automatizzate dai nostri sistemi. Da allora la nostra indagine ha scoperto che alcuni di questi avvisi di sicurezza, che sono stati inviati a un sottoinsieme limitato di utenti LastPass, probabilmente sono stati attivati ​​per errore. Di conseguenza, abbiamo modificato i nostri sistemi di avviso di sicurezza e da allora questo problema è stato risolto. Questi avvisi sono stati attivati ​​sulla base dell'impegno di LastPass a difendere i propri clienti da malintenzionati e tentativi di credential stuffing. È anche importante ribadire che il modello di sicurezza a conoscenza zero di LastPass significa che in nessun momento LastPass memorizza, conosce o ha accesso alle password principali degli utenti. Continueremo a monitorare regolarmente attività insolite o dannose e, se necessario, continueremo ad adottare misure volte a garantire che LastPass, i suoi utenti e i loro dati rimangano protetti e al sicuro".

La società ha inoltre pubblicato un post sul blog ufficiale dove, oltre a spiegare l'accaduto, approfondisce anche il modello a "conoscenza zero", suggerendo inoltre agli utenti di utilizzare una password robusta e univoca e, per coloro i quali preferiscono proteggersi con un ulteriore livello di sicurezza, di abilitare l'autenticazione a più fattori.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
filippo198031 Dicembre 2021, 10:24 #1
Cioè? Hanno creato un sistema di alert automatico che ha mandato avvisi non veritieri e hanno risolto disabilitando il servizio?
Se ho capito bene complimenti per la logica che c'è dietro:
Servizio di alert "intelligente" che sbaglia? Disattiviamolo così non sbaglia più ...
SpyroTSK03 Gennaio 2022, 10:15 #2
Originariamente inviato da: filippo1980
Cioè? Hanno creato un sistema di alert automatico che ha mandato avvisi non veritieri e hanno risolto disabilitando il servizio?
Se ho capito bene complimenti per la logica che c'è dietro:
Servizio di alert "intelligente" che sbaglia? Disattiviamolo così non sbaglia più ...


Non si intende attivati come "Enabled" ma come "Triggered" e non si riferisce al sistema di "allarme" ma al messaggio specifico di "credential stuffing"

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^