LastPass, crittografia anche per gli URL nei valut degli utenti: si parte a giugno

LastPass ha annunciato un'importante novità con l'obiettivo di offrire una maggiore privacy e sicurezza agli utenti: presto gli URL archiviati nei vault degli utenti saranno crittografati. Si tratta di un passo avanti significativo nel rafforzamento dell'architettura "zero-knowledge" di LastPass seguendo un approccio che garantisce che nemmeno la società possa accedere ai dati dei clienti.

La decisione di crittografare gli URL nasce dalla consapevolezza che questi possono contenere informazioni sensibili sulla natura degli account associati alle credenziali memorizzate, come servizi bancari, e-mail o account sui social media. La crittografia di questi URL, proprio come ogni altro campo privato presente nei vault personali di LastPass permetterà di ridurre ulteriormente il rischio associato a possibili violazioni della sicurezza. 

L'approccio zero-knowledge ha rappresentato una priorità per la società da quando è stato ideato e adottato nel 2008. Allora fu presa la decisione di lasciare gli URL non crittografati per evitare un eccessivo onere in termini di risorse computazionali necessarie ad eseguire l'operazione. L'evoluzione delle tecnologie è però arrivato ad un punto tale da consentire a LastPass di crittografare i valori URL in tempo reale, senza che l'utente possa fare esperienza di un decadimento prestazionale nelle attività di navigazione.

La decisione di LastPass giunge a seguito di due importanti incidenti di sicurezza di cui è stata vittima nel 2022, con il furto di dati comprendenti codice sorgente, informazioni dei clienti, backup e archivi di password crittografate. In quelle situazioni gli aggressori sono riusciti anche ad impossessarsi di URL non crittografati associati alle password archiviate, in alcuni casi riuscendo a recuperare o dedurre informazioni importanti per ulteriori attività criminali.

L'implementazione della crittografia degli URL avverrà in due fasi: la prima è prevista per il prossimo mese di giugno 2024, quando l'azienda procederà a crittografare automaticamente tutti i campi URL per tutti gli account, esistenti e nuovi. In questa fase gli eventuali campi URL duplicati verranno eliminati e gli utenti riceveranno e-mail informative circa le modifiche effettuate. La seconda fase avverrà successivamente, con la crittografia degli altri sei campi relativi agli URL e contenenti RL di dominio equivalenti, gli URL con caratteri jolly, gli URL di reindirizzamento, gli URL personalizzati definiti dall'utente, gli URL memorizzati nelle note dell'utente e gli URL storici.