LastPass, con un post sul proprio blog ufficiale, ha informato i propri utenti che ora le password principali dovranno avere un minimo di 12 caratteri. Ciò servirà ad aumentare la sicurezza dei loro account. Tale opzione è già presente dal 2018, ma fino ad oggi gli utenti hanno avuto la possibilità di utilizzare anche password più deboli. LastPass ha iniziato ad applicare questo requisito dall'aprile 2023 per i nuovi account o per la reimpostazione della password, ma gli account più vecchi potevano comunque utilizzare password con meno di 12 caratteri. A partire da questo mese, LastPass rende obbligatorie le nuove disposizioni caratteri per tutti gli account. L’azienda ha anche aggiunto che inizierà a controllare le password principali nuove o aggiornate rispetto a un database di credenziali precedentemente trapelate nel dark web. Ciò servirà a garantire che le password non corrispondano ad account già compromessi.
LastPass: migliorata la sicurezza dopo le due violazioni del 2022
Per aumentare la sicurezza degli utenti, a maggio 2023 LastPass ha anche resa obbligatoria l l’autenticazione a più fattori (MFA). Queste misure sono il risultato diretto di due violazioni della sicurezza della piattaforma avvenute nell'agosto e nel novembre 2022. Ad agosto, la società ha confermato che il suo ambiente di sviluppo era stato violato tramite un account sviluppatore compromesso. Gli aggressori avevano infatti violato il laptop aziendale di un ingegnere del software. Durante la violazione, gli hacker hanno rubato il codice sorgente, informazioni tecniche e alcuni segreti del sistema interno di LastPass. Le informazioni rubate in questo bug sono state successivamente utilizzate dagli autori delle minacce nella violazione di dicembre, quando hanno anche rubato i dati del customer vault dai bucket crittografati di Amazon S3 dopo aver compromesso il computer di un ingegnere DevOps senior, utilizzando una vulnerabilità di esecuzione di codice in modalità remota per installare un keylogger.
Lo scorso ottobre, gli hacker hanno rubato criptovaluta per un valore di 4,4 milioni di dollari a oltre 25 vittime utilizzando chiavi private e passphrase che potevano estrarre dai database LastPass rubati nelle violazioni del 2022. Utilizzando questo accesso, gli autori delle minacce cercano passphrase, credenziali e chiavi private dei portafogli di criptovaluta e li utilizzano per caricare i portafogli sui propri dispositivi per prosciugarli di tutti i fondi. L’azienda ha affermato afferma che la sua soluzione di gestione delle password è ora utilizzata da oltre 33 milioni di persone e 100.000 aziende in tutto il mondo.