A ottobre è avvenuto un altro attacco al servizio LastPasssu cui pare ci siano ancora diversi punti da chiarire. Gli ultimi anzi arrivano persino ora, a dicembre inoltrato.
Sulla pagina del blog aziendale di LastPass sono usciti appena un paio di giorni fa ulteriori dettagli sulla violazione avvenuta un paio di mesi fa. Trattandosi di un password manager la delicatezza della questione è lampante e ancora di più quando a quanto si legge l’attacco sia andato a segno. Gli hacker sono infatti riusciti a rubare il backup di informazioni salvate negli archivi degli utenti.
Non si tratta della prima violazione subita quest’anno per di più: una ad agosto e poi una seconda a distanza di due mesi. L’azienda ha comunque voluto rassicurare i clienti sul fatto che i loro dati continuino come sempre a essere protetti dalla master password. Il problema è che se questa risulta debole il rischio che i criminali la scoprano aumenta.
Cosa è successo
La via che hanno trovato gli hacker per procedere il furto delle chiavi di accesso pare sia legata a un dipendente di LastPass, vittima a sua volta del piano d’azione. Durante la violazione di agosto i criminali avevano infatti ottenuto una parte del codice sorgente al preciso scopo di colpire un membro del personale dell’azienda.
L’archivio del servizio va ricordato che è protetto da crittografia così come dall’architettura zero-knowledge, dove solo l’utente detiene la password principale. Sulla privacy però non si può mai abbassare la guardia anche perché se è vero che è difficile da scoprire è comunque una sola la credenziale che protegge tutte le altre. E per questo si punta sempre di più sulle credenziali biometriche.
L’uso della “forza bruta” digitale
Se è vero che rubare la master password non è così semplice c’è sempre la possibilità per gli hacker di utilizzare i cosiddetti attacchi brute force. Il nome non indica un’aggressione fisica quanto tentativi serrati di tirare a indovinare la chiave d’accesso mancante, come se si colpisse con una raffica di pugni il sistema.
Addirittura a volte per questi sistemi i criminali tentano delle combinazioni di altre credenziali rubate per trovare quella ancora sconosciuta. Chiaramente con una combinazione inusuale si può avere qualche garanzia in più.