Sin dal data breach avvenuto nell’Agosto del 2022, LastPass non ha passato dei mesi rosei, perdendo sempre di più la credibilità come gestore di password e la fiducia dei propri utenti. Le loro indagini interne hanno portato a sporadici aggiornamenti sulla situazione che di volta in volta la aggravavano, facendo domandare a sempre più persone come tutto questo possa essere accaduto.
L’ultimo aggiornamento fornito da LastPass potrebbe essere la goccia che fa traboccare il vaso per alcuni utenti, i quali avrebbero tutte le ragioni per sconsigliare di affidarsi a LastPass per la sicurezza delle loro password, in quanto hanno dimostrato abbondantemente di non essere stati in grado di dare garanzie.
Per ricapitolare la storia prima di arrivare all’ultimo aggiornamento, LastPass subì un data breach importante in agosto, nel quale un hacker, secondo le indagini, era riuscito ad ottenere l’accesso ai sistemi e a rubare del codice sorgente, segnalando che non c’era evidenza di un furto di dati degli utenti. Successivamente fu rivelato l’opposto, ovvero che effettivamente alcuni dati erano stati trafugati, e che avrebbero potuto portare alla totale compromissione degli account. Arriviamo ad oggi, e la storia su come il tutto sia accaduto, sembra aver trovato un responsabile: il PC di uno degli ingegneri di DevOps.
Un keylogger nel PC di uno degli impiegati prestigiosi di LastPass
Proprio attraverso il data breach di agosto, il cybercriminale sarebbe riuscito ad entrare nel PC di uno degli impiegati importanti di LastPass, ovvero uno degli ingegneri di DevOps, il quale era uno dei 4 possessori della chiave di decriptazione che sbloccava l’accesso all’intera infrastruttura cloud condivisa. Accedendo al PC, inserì un keylogger con il quale riuscì ad ottenere la password amministrativa di LastPass, e ad entrare dove sono contenute tutte le password.
Dall’account dell’ingegnere, l’hacker ha potuto man mano ottenere le chiavi di decriptazione necessarie, ed entrare nell’infrastruttura cloud condivisa dove ha potuto rubare un grosso quantitativo di dati importanti e sensibili. LastPass stesso ha ammesso che sono state esportate le entrate originali e le cartelle condivise, le quali contenevano note di sicurezza criptate con l’accesso e le chiavi di decriptazione necessarie per accedere ai salvataggi AWS S3 di produzione di LastPass, altre risorse di archiviazione, e alcuni backup importanti dei database.
Tutto questo ha portato ormai il gestore di password ad uno stato in cui la fiducia è sotto lo zero, tanto che anche alcuni giornalisti specializzati nel settore della cyber sicurezza raccomandano gli utenti del web di tenersi a distanza da LastPass, dopo che l’umiliazione subita, la facilità con cui è stata compromessa, e la scarsa gestione della situazione e delle informazioni, l’hanno portata ad essere dipinta come una compagnia di cui non ci si può fidare.
