Diversi utenti hanno ricevuto un’email che segnalava l’accesso alla master password di LastPass. La software house ha successivamente comunicato che non c’è stato nessun furto di password. Ma nel comunicato pubblicato sul sito ufficiale si ipotizza un possibile problema tecnico. Ciò spiegherebbe alcune stranezze segnalate su Twitter.
LastPass: notifiche inviate per errore?
LastPass spiega che l’avviso viene solitamente inviato agli utenti che effettuano l’accesso da differenti dispositivi e posizioni geografiche. L’azienda ipotizza che ciò sia avvenuto in seguito ad un tentativo di “credential stuffing”. Qualcuno ha utilizzato username e password ottenute da data breach di terze parti (che gli utenti hanno usato su altri servizi). In ogni caso nessun account è stato compromesso.
Durante l’indagine avviata per scoprire cosa ha innescato l’invio automatico delle email, LastPass ha tuttavia rilevato che alcune di esse sono state inviate a causa di un errore tecnico (non viene spiegato quale), successivamente risolto. Ciò spiegherebbe quanto accaduto ad un utente che, dopo aver ricevuto l’avviso di sicurezza e cambiato la master password, ha ricevuto un secondo avviso
Altri utenti hanno invece segnalato la visualizzazione di un errore durante la procedura di cancellazione dell’account. Il supporto tecnico di LastPass ha spiegato che ciò si verifica se non viene effettuato il logout da tutte le app.
La software house suggerisce di creare una master password robusta (lunga almeno 12 caratteri con un numero, una lettera minuscola e una lettera maiuscola) e unica (non deve essere usata per altri servizi online). È consigliabile inoltre attivare l’autenticazione a due fattori.