Online società di sicurezza LastPass pubblicato un annuncio di ieri sul blog ufficiale dell’azienda, che ha individuato e bloccato le attività sospette sulla rete aziendale.
Secondo le informazioni pubblicate sul blog, la società non ha trovato prove che LastPass account utente di accesso utente o dati del vault è stato scaricato. La società ha deciso di non parlare di quando ha notato la violazione, ma alcuni utenti hanno segnalato che hanno iniziato a ricevere spam per gli indirizzi email utilizzati esclusivamente per le password di account manager l ‘ 8 giugno.
LastPass’ inchiesta ha confermato che conto indirizzi e-mail, promemoria della password, server per utente sali e gli hash di autenticazione sono stati compromessi.
L’azienda, fiducioso del servizio di protezione, attivato misure di sicurezza ulteriori per la maggior parte degli account.
Per esempio, si richiede che tutti gli utenti di verificare l’account e-mail di nuovo, se un nuovo dispositivo o l’indirizzo IP utilizzato per accedere all’account. Questo non è il caso per il login su dispositivi conosciuti o da indirizzi IP conosciuti, e anche solo il caso se l’autenticazione multi-factor non è utilizzato.
In aggiunta a ciò, gli utenti riceveranno istruzioni per aggiornare il loro master password.
L’azienda è in via di pubblicazione con le informazioni. Non inviate e-mail a tutti gli utenti per informarli circa l’incidente di sicurezza.
Dal momento che dati utente crittografato non è stato rubato, LastPass non richiede agli utenti di modificare le password per i siti e servizi archiviati dal servizio nel cloud.
Le informazioni che gli erano state rubate può essere utilizzato da malintenzionati per decifrare master password, soprattutto se le password deboli sono stati selezionati dagli utenti.
Che cosa si dovrebbe fare
Anche se si potrebbe non ricevere istruzioni per modificare la password master, si potrebbe desiderare di cambiare a prescindere. Questo può essere fatto direttamente sul LastPass sito web, per esempio.
Inoltre, si consiglia di abilitare l’autenticazione a più fattori per gli account per aggiungere un secondo livello di protezione.
LastPass supporta una varietà di hardware e software di base di opzioni di autenticazione di cui alcuni sono disponibili solo per gli utenti premium.
Una volta che si attiva la funzione di protezione, il login è necessario un secondo passaggio di autenticazione che è indipendente dei dati memorizzati dal LastPass. Per esempio, si potrebbe utilizzare Google Authenticator, un’applicazione da Google, per creare codici per la seconda fase di login. Gli aggressori avrebbero bisogno di accedere al tuo telefono cellulare o dispositivo mobile di Google Authenticator è in esecuzione su per completare il passaggio.
A parte questo, è necessario assicurarsi che non si ri-utilizzare una master password. Se l’avete fatto, si consiglia di cambiarla immediatamente.
Ultimo ma non meno importante, dal momento che gli aggressori entrato in possesso di indirizzi e-mail, è possibile ricevere messaggi di spam o attacchi di ingegneria sociale che tenta di rubare i dati da voi direttamente.
Parole Di Chiusura
Il servizio subito una violazione già nel 2011 e che ero risentito. Ho deciso allora di passare al locale password manager KeePass dopo il cambio di centinaia di password di account su Internet.
Online password servizi sono di alto profilo, obiettivi per attaccanti come store account per migliaia o addirittura milioni di utenti.
Ora: sei interessato dalla violazione?