Lo scandalo LastPass diventa nucleare, i servizi della società madre vengono violati

0
49
Tada Images/Shutterstock.com

Se hai seguito lo scandalo della violazione dei dati di LastPass negli ultimi mesi, potresti essere perdonato se pensi che non potrebbe andare peggio. Ogni poche settimane, la società esce con tristi notizie sull'entità dell'hack. Ora, la sua società madre, GoTo, ha rivelato che anch'essa è stata una vittima.

In un post sul blog, il CEO di GoTo Paddy Srinivasan ha rilasciato un aggiornamento informando i clienti che prodotti diversi da LastPass sono stati compromessi nella violazione. I servizi GoTo che condividevano un server con LastPass, come Central, Pro, join.me, Hamachi e RemotelyAnywhere, hanno subito il furto di informazioni sensibili durante l'hacking di LastPass, inclusi nomi utente, password salate e con hash, impostazioni di autenticazione a più fattori e informazioni sul prodotto e informazioni sulla licenza. Inoltre, la violazione ha interessato un piccolo sottoinsieme delle impostazioni di autenticazione a più fattori dei servizi Rescue e GoToMyPC.

RELATEDLo scandalo LastPass mostra che è ora di lasciarsi alle spalle le password

Srinivasan afferma che i clienti interessati vengono contattati direttamente e che, sebbene le informazioni sulla password siano state sottoposte a salting e hash, GoTo sta reimpostando le loro password per cautela. Inoltre, l'azienda sta migrando gli account interessati su una piattaforma di gestione delle identità avanzata per fornire ulteriori opzioni di sicurezza e autenticazione all'accesso.

La violazione dei dati in questione è avvenuta nell'agosto 2022, quando il gestore delle password ha affermato che l'hack ha interessato solo il codice sorgente di LastPass e altre informazioni tecniche. Tuttavia, con il progredire del 2022, sono emersi ulteriori dettagli. Alla fine di novembre, LastPass ha ammesso che “alcuni elementi delle informazioni dei nostri clienti” era stato rubato dagli hacker. Nessun dettaglio sul tipo di informazioni che potrebbero essere state fornite in quel momento. Quindi, poco prima di Natale, il gestore delle password ha diffuso la notizia che gli hacker hanno ottenuto un “backup dei dati del vault del cliente”.

RELATEDI 5 migliori gestori di password del 2023

Il furto del deposito di backup significa che gli hacker ora hanno tentativi illimitati di indovinare la password principale di tutti i clienti di LastPass e ottenere l'accesso a ogni bit di informazioni sui clienti nel deposito. LastPass ha affermato che i dati dei clienti sono ancora al sicuro fintanto che gli utenti hanno creato una password principale complessa, un'affermazione che è stata demolita pochi giorni dopo dal concorrente di LastPass 1Password.

Ora sembra che il problema potrebbe essere molto più terribile di quanto apparisse alla fine del 2022, con l'inclusione di dati rubati da servizi esterni a LastPass. E mentre speriamo che questa sia la fine degli aggiornamenti a questo scandalo, gli ultimi mesi hanno dimostrato che ha sempre il potenziale per peggiorare rispetto a prima.

Best Overall Password Manager

1Password

Goditi una protezione completa con password su tutti i tuoi dispositivi, anche quando sei in viaggio.

Acquista

Fonte: GoTo News