L’allarme si è diffuso nella serata di ieri con l’arrivo di una serie di email che hanno fatto temere il peggio: molti utenti LastPass, infatti, hanno iniziato a ricevere avvisi via mail indicanti un tentativo di accesso al loro account da località differenti rispetto a quelle abituali. Ciò lasciava intendere indesiderati tentativi di far proprie le password, mettendo in serio pericolo la sicurezza di ogni singolo account protetto dal lucchetto di LastPass.
A distanza di poche ore, tuttavia, dal gruppo giungono rassicurazioni.
LastPass, cosa è successo?
LastPass è un servizio di gestione password che funziona a sua volta proteggendo le credenziali dietro una robusta password e ridondanti sistemi di controllo e sicurezza. Perdere il proprio accesso LastPass significa concedere ad altri l’accesso all’intero catalogo delle proprie password utilizzate online, permettendo quindi di trafugare dati, denaro, contenuti sensibili, dati personali e quant’altro: i motivi dell’allarme scatenatosi sono del tutto solidi e pragmatici.
Secondo quanto spiegato da LastPass, tuttavia, a seguito delle segnalazioni ricevute è stato avviato un immediato approfondimento che non ha rilevato alcuna attività anomala all’interno del servizio. Nessun accesso indesiderato, insomma, né alcun dato trafugato. Questo lascia supporre che nessun dato sia stato messo realmente in pericolo e che non vi sia alcuna vulnerabilità (come invece successo in passato) che possa mettere a rischio la tenuta delle protezioni LastPass.
Il gruppo ritiene si sia trattato di un tentativo basato sul fatto che molto spesso gli utenti usino le stesse password su più siti e che possano aver tentato quindi l’accesso a LastPass tramite password già catturate altrove. Il tentativo non sarebbe comunque andato a buon fine perché, una volta individuato l’accesso da località non coerenti con quelle abituali dell’utente, l’accesso stesso è stato bloccato per sicurezza. LastPass ricorda pertanto l’importanza di avere password univoche, poiché in caso contrario si facilita il compito dei malintenzionati (come sarebbe potuto succedere in questo caso) e di accompagnarle con una verifica a più fattori per blindare ulteriormente i propri accessi.