LastPass, violato lo scrigno delle password

LastPass ha comunicato ai propri utenti di aver subito una attività sospetta sui propri server e di aver bloccato le attività sugli stessi per investigare su quanto accaduto. Il gruppo conferma che un team di cracker sia riuscito ad accedere ai file custoditi dal proprio network, mettendo così a rischio tutti i dati ivi contenuti. A rischio, insomma, milioni di password, di ogni servizio, per utenti di tutto il mondo.

LastPass, scrigno di password

LastPass è un servizio che garantisce all’utente di poter proteggere tutte le proprie password dietro il medesimo account univoco: un software è in grado così di compilare automaticamente tutti i form, fornendo password anche casuali e ben strutturate, a tutela dell’utente finale. Nel momento in cui LastPass cade nelle mani dei cracker, però, tutto crolla: il servizio che doveva garantire gli account dei propri utenti diventa al contrario una sorta di elemento in grado di facilitare il reperimento delle password. Invece di craccare milioni di account, infatti, è sufficiente accedere ad un solo database e far man bassa dei dati disponibili. Con effetti devastanti per i dati della community e per il senso di sicurezza percepito dagli utenti del servizio.

La caduta di LastPass è un fattore di grave pericolosità, che conferma però un assioma ormai assodato: la sicurezza non è mai assoluta, ed è semmai commisurata ed inversamente proporzionale al tasso di interesse che v’è nei confronti di una possibile violazione. Violare LastPass è chiaramente azione di grande appetibilità, poiché consente di accedere a milioni di password e indirizzi email in un colpo solo.

LastPass, server violati

Sulla base di quanto comunicato dal gruppo, l’attacco sarebbe stato grave, ma le conseguenze potrebbero rimanere limitate: le precauzioni adoperate tramite crittografia dovrebbero infatti reggere l’onda d’urto dell’attacco subito e i dati sensibili dovrebbero pertanto rimanere protetti. Il gruppo non consiglia infatti il cambio delle password custodite sotto il proprio account LastPass, spiegando che le stesse non sono in pericolo, ma per precauzione estrema si suggerisce comunque un cambio della password “master” utilizzata sul servizio.

Il gruppo sembra incassare bene il colpo, dimostrando di aver messo a punto un sistema di tutela dei dati di sicura qualità. Quel che non è possibile fare è però tutelare la sicurezza avvertita: la violazione di LastPass sembra incrinare l’idea di una repository unica delle password come metodo ideale per gestire i propri account online. Il futuro per LastPass sarà insomma in salita, poiché se la fiducia della community è stata incrinata il tutto diventa fortemente penalizzante per l’incontro tra il servizio e gli utenti.

I dati trafugati sono in particolare relativi agli indirizzi email degli utenti ed alla domanda di sicurezza adoperata: si tratta di materiale sufficiente per scatenare un’ondata di spam orientato a suggerire il cambio della password sul servizio per ottenere in realtà la risposta alla domanda di sicurezza (il che aprirebbe a malintenzionati la porta principale verso le password custodite dal servizio. Per questo motivo LastPass spiega di voler chiedere un cambio della password ed una autenticazione dell’identità tramite email per tutti coloro i quali si collegano sotto un nuovo device, così da effettuare una serie di controlli incrociati che possano garantire la bontà dell’operazione.