Il principale gestore di password LastPass e la sua affiliata, il fornitore di software di comunicazione GoTo, hanno rivelato di aver subito una violazione della loro infrastruttura di archiviazione cloud a seguito di un attacco informatico nell'agosto 2022.
In un aggiornamento (si apre in una nuova scheda) sull'incidente in corso, la società ammette di aver recentemente rilevato "attività insolite" all'interno di un servizio di archiviazione cloud di terze parti utilizzato sia da LastPass che da GoTo.
I risultati dell'indagine di LastPass, firmata dal CEO di LastPass Karim Toubba e che ha coinvolto gli esperti di sicurezza di Mandiant, hanno mostrato che qualcuno ha utilizzato le credenziali trapelate durante l'incidente per ottenere l'accesso a "determinati elementi" di informazioni dei clienti di LastPass.
le password sono sicure
Toubba non ha specificato a quale tipo di dati è stato effettuato l'accesso, ma ha affermato che le password degli utenti non sono state modificate.
"Le password dei nostri clienti rimangono crittografate in modo sicuro grazie all'architettura Zero Knowledge di LastPass", ha affermato.
"Mentre la nostra indagine è in corso, abbiamo raggiunto uno stato di contenimento, abbiamo implementato ulteriori misure di sicurezza rafforzate e non vediamo ulteriori prove di attività non autorizzate".
Essendo uno dei gestori e generatori di password professionali più popolari, considerato affidabile da oltre 100 aziende ogni giorno, LastPass non è estraneo alle violazioni dei dati da parte dei criminali informatici.
TechRadar Pro ha riferito in precedenza che la società ha confermato alla fine di settembre 2022 che l'autore della minaccia responsabile della violazione originale ad agosto si è nascosto sulla sua rete per giorni, prima di essere espulso.
Tuttavia, in quel momento l'autore della minaccia non era in grado di accedere ai dati interni del cliente o ai depositi di password crittografati. LastPass afferma che l'ultimo sviluppo non è cambiato, grazie alla sua architettura Zero Knowledge (si apre in una nuova scheda).
"Sebbene l'autore della minaccia sia stato in grado di ottenere l'accesso all'ambiente di sviluppo, la progettazione e i controlli del nostro sistema gli hanno impedito di accedere ai dati dei clienti o ai depositi di password crittografati", ha dichiarato Toubba all'epoca.
L'attaccante è stato apparentemente in grado di accedere all'ambiente di sviluppo dell'azienda attraverso un endpoint sviluppatore compromesso.
Le indagini e la scientifica non sono state in grado di determinare il metodo esatto utilizzato per la compromissione iniziale dell'endpoint. Toubba ha affermato che gli aggressori hanno utilizzato il loro accesso persistente per impersonare lo sviluppatore dopo essersi autenticati con successo con l'autenticazione a più fattori.