LastPass è stato hackerato, le password salvate sono a rischio
Di Luca Boiardi
Attenzione se sei utente LastPass: il password manager è stato vittima di un data breach, e i dati sono compromessi. Ecco cosa devi fare
LastPass hackerato: cos'è successo?
Ieri LastPass ha comunicato in un suo post che hanno notato un accesso non autorizzato al loro cloud di dati.
Tra i dati sottratti ci sono quelli personali degli utenti (numero di telefono, indirizzo e-mail, indirizzo IP, indirizzo di fatturazione) e i vault contenenti siti e password crittografati.
Il fatto che siano crittografati implica che, affinché gli hacker possano ottenerli in chiaro, debbano conoscere la master password, ovvero la password utilizzata per proteggere tutte le altre password.
Ovviamente non la conoscono, ma questo comunque espone a rischi, perché potrebbero provare a fare bruteforcing (tentare password a caso finché non la azzeccano) oppure utilizzare altre tecniche di recupero della stessa.
Approfondiamo, in quanto le tue password potrebbero essere a rischio.
Quali rischi si corrono?
LastPass afferma nel comunicato che è estremamente difficile fare bruteforcing della master password.
Se l’utente segue le buone pratiche suggerite da LastPass, in particolare l’uso di una master password forte di almeno 12 caratteri con lettere, numeri e simboli, ci vorrebbero milioni di anni per il bruteforcing.
Altrettanto importante è che l’utente non utilizzi MAI la master password di LastPass su altri siti.
Questo perché la prima operazione che gli hacker fanno solitamente è cercare di incrociare i dati recuperati con altri leak che si trovano online, e provare a usare tali leak come master password.
Esempio: se sei stato oggetto di un data leak su Facebook e usavi la stessa mail di LastPass e password “password123”, la prima password che proveranno ad inserire come master sarà proprio quella.
Questa è la ragione per cui non bisogna mai e poi mai riciclare le stesse password su più siti, idealmente neanche le stesse mail o username per il login.
Che fare quindi?
LastPass afferma che, se si è seguito le buone pratiche spiegate prima, non è necessario fare nulla.
Raccomandano anche di abilitare sempre l’autenticazione a due fattori, al fine di massimizzare il livello di sicurezza.
Se si è in dubbio e si vuole evitare qualsiasi possibile rischio, la soluzione è cambiare sia tutte le password che si aveva salvato su LastPass che la master password stessa. In tal modo, si è certi che anche se gli hacker decrittassero i dati sottratti, ormai non varrebbero più nulla perché sarebbero password vecchie.
Attenzione anche al phishing: avendo dati quali email e numero di telefono, gli utenti saranno sicuramente soggetti a mail, chiamate e sms di phishing, con i quali magari gli attaccanti si fingono l’assistenza clienti LastPass e cercano di carpire la master password.
Ovviamente, non rispondete e ignorate tali interazioni: LastPass non vi chiederà mai dati sensibili.
