3 min read 23 Dec 2022

LastPass è stato hackerato, le password salvate sono a rischio

Di Luca Boiardi

Attenzione se sei utente LastPass: il password manager è stato vittima di un data breach, e i dati sono compromessi. Ecco cosa devi fare

LastPass è stato hackerato, le password salvate sono a rischio

LastPass hackerato: cos'è successo?

Ieri LastPass ha comunicato in un suo post che hanno notato un accesso non autorizzato al loro cloud di dati.

Tra i dati sottratti ci sono quelli personali degli utenti (numero di telefono, indirizzo e-mail, indirizzo IP, indirizzo di fatturazione) e i vault contenenti siti e password crittografati.

Il fatto che siano crittografati implica che, affinché gli hacker possano ottenerli in chiaro, debbano conoscere la master password, ovvero la password utilizzata per proteggere tutte le altre password.
Ovviamente non la conoscono, ma questo comunque espone a rischi, perché potrebbero provare a fare bruteforcing (tentare password a caso finché non la azzeccano) oppure utilizzare altre tecniche di recupero della stessa.

Approfondiamo, in quanto le tue password potrebbero essere a rischio.

Quali rischi si corrono?

LastPass afferma nel comunicato che è estremamente difficile fare bruteforcing della master password.

Se l’utente segue le buone pratiche suggerite da LastPass, in particolare l’uso di una master password forte di almeno 12 caratteri con lettere, numeri e simboli, ci vorrebbero milioni di anni per il bruteforcing.

Altrettanto importante è che l’utente non utilizzi MAI la master password di LastPass su altri siti.
Questo perché la prima operazione che gli hacker fanno solitamente è cercare di incrociare i dati recuperati con altri leak che si trovano online, e provare a usare tali leak come master password.

Esempio: se sei stato oggetto di un data leak su Facebook e usavi la stessa mail di LastPass e password “password123”, la prima password che proveranno ad inserire come master sarà proprio quella.

Questa è la ragione per cui non bisogna mai e poi mai riciclare le stesse password su più siti, idealmente neanche le stesse mail o username per il login.

Quali rischi si corrono?

Che fare quindi?

LastPass afferma che, se si è seguito le buone pratiche spiegate prima, non è necessario fare nulla.

Raccomandano anche di abilitare sempre l’autenticazione a due fattori, al fine di massimizzare il livello di sicurezza.

Se si è in dubbio e si vuole evitare qualsiasi possibile rischio, la soluzione è cambiare sia tutte le password che si aveva salvato su LastPass che la master password stessa. In tal modo, si è certi che anche se gli hacker decrittassero i dati sottratti, ormai non varrebbero più nulla perché sarebbero password vecchie.

Attenzione anche al phishing: avendo dati quali email e numero di telefono, gli utenti saranno sicuramente soggetti a mail, chiamate e sms di phishing, con i quali magari gli attaccanti si fingono l’assistenza clienti LastPass e cercano di carpire la master password.

Ovviamente, non rispondete e ignorate tali interazioni: LastPass non vi chiederà mai dati sensibili.

X

Vuoi essere sempre sul pezzo?

Iscriviti alla newsletter per ricevere approfondimenti esclusivi e analisi ogni settimana.

Se ti iscrivi c’è un regalo per te!

bitcoin
Bitcoin (BTC) $ 117,959.60
ethereum
Ethereum (ETH) $ 2,961.56
xrp
XRP (XRP) $ 2.79
tether
Tether (USDT) $ 1.00
bnb
BNB (BNB) $ 690.02
solana
Solana (SOL) $ 161.87
usd-coin
USDC (USDC) $ 1.00
dogecoin
Dogecoin (DOGE) $ 0.198944
tron
TRON (TRX) $ 0.300153
staked-ether
Lido Staked Ether (STETH) $ 2,960.07
cardano
Cardano (ADA) $ 0.739850
hyperliquid
Hyperliquid (HYPE) $ 47.78
wrapped-bitcoin
Wrapped Bitcoin (WBTC) $ 117,743.55
stellar
Stellar (XLM) $ 0.433731
wrapped-steth
Wrapped stETH (WSTETH) $ 3,575.79
sui
Sui (SUI) $ 3.42
chainlink
Chainlink (LINK) $ 15.26
bitcoin-cash
Bitcoin Cash (BCH) $ 506.00
hedera-hashgraph
Hedera (HBAR) $ 0.225362
avalanche-2
Avalanche (AVAX) $ 21.10
leo-token
LEO Token (LEO) $ 9.07
wrapped-eeth
Wrapped eETH (WEETH) $ 3,173.05
shiba-inu
Shiba Inu (SHIB) $ 0.000013
the-open-network
Toncoin (TON) $ 3.00
weth
WETH (WETH) $ 2,961.91
usds
USDS (USDS) $ 1.00
litecoin
Litecoin (LTC) $ 94.25
whitebit
WhiteBIT Coin (WBT) $ 46.18
binance-bridged-usdt-bnb-smart-chain
Binance Bridged USDT (BNB Smart Chain) (BSC-USD) $ 1.00
monero
Monero (XMR) $ 337.29
polkadot
Polkadot (DOT) $ 3.97
coinbase-wrapped-btc
Coinbase Wrapped BTC (CBBTC) $ 117,979.61
ethena-usde
Ethena USDe (USDE) $ 1.00
pepe
Pepe (PEPE) $ 0.000012
bitget-token
Bitget Token (BGB) $ 4.40
uniswap
Uniswap (UNI) $ 8.48
aave
Aave (AAVE) $ 303.88
bittensor
Bittensor (TAO) $ 390.50
dai
Dai (DAI) $ 1.00
pi-network
Pi Network (PI) $ 0.469579
aptos
Aptos (APT) $ 4.92
crypto-com-chain
Cronos (CRO) $ 0.102244
ethena-staked-usde
Ethena Staked USDe (SUSDE) $ 1.18
near
NEAR Protocol (NEAR) $ 2.51
okb
OKB (OKB) $ 48.90
internet-computer
Internet Computer (ICP) $ 5.39
jito-staked-sol
Jito Staked SOL (JITOSOL) $ 196.54
blackrock-usd-institutional-digital-liquidity-fund
BlackRock USD Institutional Digital Liquidity Fund (BUIDL) $ 1.00
ondo-finance
Ondo (ONDO) $ 0.887303
ethereum-classic
Ethereum Classic (ETC) $ 18.27