LastPass conferma che gli aggressori hanno rubato del codice sorgente

All’inizio di questa settimana, LastPass ha iniziato a notificare ai suoi utenti un “recente incidente di sicurezza” in cui una “parte non autorizzata” ha utilizzato un account sviluppatore compromesso per accedere a parti del codice sorgente del suo gestore di password e ad “alcune informazioni tecniche proprietarie di LastPass”. In una lettera ai suoi utenti, l’amministratore delegato dell’azienda Karim Toubba spiega che la sua indagine non ha fornito prove dell’accesso ai dati degli utenti o alle password crittografate.

Toubba continua a spiegare che la società ha “implementato ulteriori misure di sicurezza rafforzate” dopo aver contenuto la violazione, rilevata due settimane fa. La società non ha voluto commentare da quanto tempo era in corso la violazione prima che fosse rilevata.

Come spiega LastPass, a questo punto i suoi utenti non devono fare nulla: non c’è motivo per te di passare un pomeriggio a cambiare la tua password principale e fare un controllo di sicurezza completo. LastPass, d’altra parte, probabilmente ha il suo lavoro da fare per assicurarsi che non debba apportare modifiche ora che una parte non autorizzata potrebbe avere accesso al suo codice sorgente.

Per essere chiari, gli hacker che hanno accesso al codice sorgente di un programma non significano immediatamente che possono impossessarsene all’istante, rompendone le difese. Notoriamente, Microsoft afferma di non fare affidamento sul fatto che il suo codice sorgente rimanga privato per la sicurezza e afferma che le persone in grado di leggerlo non dovrebbero essere un rischio (il che è positivo perché il suo codice sorgente perdite a quantità). E mentre questo dovrebbe essere il caso per qualsiasi azienda, specialmente quelle il cui intero affare è mantenere le tue password al sicuro, probabilmente vorrei che l’azienda esaminasse attentamente il suo codice solo per assicurarsi che non ci siano vulnerabilità sottili che ha perso se Ero un cliente LastPass.

Nonostante il fatto che la violazione non sembri essere un allarme rosso per problemi di sicurezza in azienda, non è ancora un ottimo aspetto per un gestore di password che ha lottato con la sua reputazione. È solo l’ultimo di una serie di incidenti per LastPass (la pagina Wikipedia del software è in gran parte composta da una sezione intitolata “problemi di sicurezza”), e l’azienda si è anche guadagnata l’ira di molti utenti per aver cambiato il suo livello gratuito in modo che fosse significativamente meno utile in inizio 2021.

Leave a Comment

Your email address will not be published.