Gli utenti di LastPass devono cambiare immediatamente la propria password

Qualcosa è andato storto: il servizio web d’immagazzinamento password LastPass ha chiesto agli utenti di modificare la propria password.

LastPass

Un servizio di password manager online può rendere la vita più facile, poiché inserisce in automatico la password corrispondente a un determinato sito Internet. Uno strumento davvero comodo, se non viene hackerato ovviamente. In queso caso, da una singola password i cybercriminali possono accedere a informazioni dal valore incalcolabile, comprese le credenziali bancarie.

keys_vk

LastPass, un password manager piuttosto diffuso, ha scoperto di recente una fuga di dati nel proprio servizio. I cybercriminali hanno compromesso gli indirizzi email degli utenti, i promemoria delle password, l’hash e il sale di ogni utente. Le password in sé non sono state compromesse, dal momento che non vengono immagazzinate su cloud. Nonostante ciò, LastPass consiglia ai suoi utenti di cambiare la propria master password del servizio e di abilitare l’autenticazione multi-fattore.

In base a quanto dichiarato dall’azienda stessa, non appena scoperta la fuga di dati, LastPass ha reso pubblica la notizia. Spesso, a tutto vantaggio degli hacker, molte grandi aziende cercano di non far trapelare queste informazioni.

Allo stesso tempo, però, non si sa ancora con certezza quali siano le effettive conseguenze di questa fuga di dati. Joe Siegrist, CEO e fondatore di LastPass, ritiene che questo incidente non avrà ripercussioni sulla “grande maggioranza degli utenti”. Alcuni ricercatori sostengono questa idea e hanno affermato che non c’è pericolo alcuno per gli utenti che hanno scelto password robuste.

Altri ricercatori, invece, ritengono che la fuga di dati possa portare a una nuova ondata di attività dei cybercriminali, rivolta direttamente agli utenti di LastPass. Avendo a disposizione l’elenco degli indirizzi email degli utenti, gli hacker potrebbero progettare una campagna di phishing ad hoc per ottenere i dati che ancora non hanno. Ad esempio, LastPass sta consigliando ai propri utenti di modificare la master password.

Alla luce di ciò, i cybercriminali potrebbeo spammare gli utenti di LastPass con email false, molto simili a quelle originali. Se l’utente riceve un’email, apparentemente non sospetta, con avvisi e raccomandazioni che provengono dagli “sviluppatori” , potrebbe essere portato molto più facilmente a cliccare su un link per cambiare la master password, che finirebbe invece nelle mani dei cybercriminali.

Ecco cosa consigliamo a chi utilizza LastPass:

1) Seguite le raccomandazioni ufficiali, ovvero cambiate la master password e abilitate l’autenticazione multi-fattore. L’ideale sarebbe abilitare questo tipo di autenticazione anche su altri siti, tipo email e social network;

2) Non cliccate sui link presenti nel corpo delle email provenienti da LastPass. Potrebbero essere email di phishing, per questo meglio digitare l’URL a mano nella barra degli indirizzi del browser;

3) Assicuratevi che la master password che stavate utilizzando su LastPass non sia la password anche di altri servizi. Bisogna sempre utilizzare password differenti per ogni servizio, questa è una regola d’oro.

Non è la prima volta che LastPass ha dovuto affrontare problemi legati alla sicurezza. L’estate scorsa, l’Università di California Berkeley ha evidenziato alcune falle nella sicurezza di 5 servizi di password manager, tra cui Last Pass. Gli altri quattro erano RoboForm, My1Login, PasswordBox e NeedMyPassword.

Come probabilmente già sapete, non esiste la soluzione di sicurezza perfetta. Ci vuole coraggio perché un’azienda si assuma la propria responsabilità rendendo pubblica una fuga di dati, perché potrebbe perdere molti clienti. Alcuni utenti di LastPass potrebbero voler passare a un altro servizio, altri invece rimarranno fedeli.

Se state pensando di affidarvi a un nuovo password manager, non possiamo fare altro che consigliarvi uno di cui siamo sicuri, Kaspersky Password Manager. Non immagazziniamo le password degli utenti, per cui è impossibile che possano essere rubate dai server di Kaspersky, semplicemente non si trovano lì.

Potreste andare oltre e installare Kaspersky Total Security – Multi-Device, che comprende un servizio integrato di password manager e tutte le funzionalità di sicurezza in grado di proteggere dati e dispositivi dai malware in circolazione.

Consigli