Agosto 29, 2022 | By Karim Toubba
Annuncio di un recente incidente di sicurezza
Comunicazione rivolta a tutti i clienti LastPass.
Desidero informarvi di un avvenimento che riteniamo importante divulgare a beneficio delle imprese e dei consumatori che costituiscono la community di LastPass.
Due settimane fa, abbiamo rilevato delle attività sospette all’interno di alcune aree dell’ambiente di sviluppo di LastPass. Ci siamo adoperati tempestivamente per avviare un’inchiesta, ma non abbiamo riscontrato alcun elemento che suggerisca una violazione dei dati dei clienti o delle casseforti crittografate che ne contengono le password.
Siamo giunti alla conclusione che un soggetto non autorizzato ha ottenuto l’accesso ad alcune aree dell’ambiente di sviluppo di LastPass tramite l’account compromesso di un unico sviluppatore e ha trafugato parti del codice sorgente insieme ad alcuni dati tecnici proprietari di LastPass. I prodotti e i servizi LastPass funzionano normalmente.
In risposta all’accaduto, abbiamo adottato le opportune misure di contenimento e mitigazione del rischio, rivolgendoci inoltre a una società di cibersicurezza e informatica forense. Mentre le attività investigative procedono, siamo riusciti a contenere l’incidente, abbiamo implementato nuove misure di sicurezza potenziate e non abbiamo ravvisato la presenza di ulteriori attività non autorizzate.
Sulla base di quanto abbiamo appreso nonché delle contromisure adottate, stiamo valutando ulteriori tecniche di mitigazione per rafforzare il nostro ambiente. Di seguito, troverete una breve raccolta di domande frequenti che abbiamo stilato in previsione di quelle che potrebbero essere le vostre domande o preoccupazioni iniziali più urgenti. Continueremo tuttavia a tenervi aggiornati con tutta la trasparenza che meritate.
Vi siamo grati per la pazienza, la comprensione e il supporto che ci continuate a dimostrare.
Karim Toubba
Ad di LastPass
Domande frequenti
L’incidente ha compromesso la mia password principale o quella dei miei utenti?
No. Non conosciamo né memorizziamo mai le password principali. Impieghiamo un’architettura di sicurezza conforme agli standard del settore basata sul principio della conoscenza zero, la quale impedisce a LastPass di ottenere l’accesso alla password principale dei nostri clienti o venirne in altro modo a conoscenza. Ulteriori informazioni sull’implementazione tecnica del principio della conoscenza zero sono disponibili QUI.
L’incidente ha compromesso i dati presenti nella mia cassaforte o in quella dei miei utenti?
No. L’incidente è avvenuto nel nostro ambiente di sviluppo. La nostra indagine non ha evidenziato alcun accesso non autorizzato ai dati delle casseforti crittografate. Il nostro modello basato sul principio della conoscenza zero assicura che soltanto il cliente possa accedere alla propria cassaforte per decrittografarne i dati.
L’incidente ha compromesso le mie informazioni personali o quelle dei miei utenti?
No. La nostra indagine non ha evidenziato alcun accesso non autorizzato ai dati dei clienti nel nostro ambiente di produzione.
Cosa dovrei fare per proteggere sia me che i dati salvati nella mia cassaforte?
Al momento, non abbiamo alcuna raccomandazione da fare agli utenti o agli amministratori. Come sempre, vi incoraggiamo ad adottare le procedure consigliate per l’impostazione e la configurazione di LastPass, disponibili al seguente indirizzo:
https://blog.lastpass.com/2022/01/how-to-set-up-your-new-lastpass-account/
Come faccio a reperire maggiori informazioni?
Continueremo a tenere aggiornati i nostri clienti con tutta la trasparenza che meritano.