Se usate LastPass, probabilmente avete già ricevuto una email nelle ultime ore. L'azienda ha notificato i propri clienti di un nuovo data breach, il terzo in poco più di dieci anni, e questa volta si tratta di un problema ancora più peculiare, perché non dipende direttamente dalla piattaforma, ma arriva dall'esterno. Cerchiamo di capire insieme tutti i dettagli. Per quanto ne sappiamo finora, la fonte del problema di LastPass questa volta non è un malfunzionamento del sistema interno, ma un partner esterno, cioè la società di market research Klue. Non si tratta di password rubate o vault compromessi, per fortuna, ma i dati esposti sono comunque quelli che i truffatori usano più volentieri per costruire attacchi di phishing mirati.Secondo quanto comunicato da LastPass, la piattaforma di Klue è integrata con i sistemi Salesforce e Gong, e attraverso questa catena di integrazioni gli attaccanti hanno avuto accesso alle informazioni di contatto dei clienti: nomi, numeri di telefono, indirizzi email e fisici, oltre a dati relativi ai casi di supporto e alle attività commerciali. Niente di tecnico, niente di crittografato, ma abbastanza per costruire truffe credibili.Dopo aver scoperto l'incidente, LastPass ha revocato gli accessi dei dipendenti a Klue, avvisato le forze dell'ordine e avviato un'indagine. L'azienda ha anche pubblicato gli indirizzi IP e i domini email associati agli attaccanti, in modo che le aziende clienti possano cercare tracce di attività sospette nei propri sistemi. La raccomandazione ufficiale è di restare vigili su tentativi di phishing o social engineering che sfruttino le informazioni compromesse. In pratica: se ricevete un'email che sembra provenire da LastPass o da un suo partner e vi chiede di cliccare qualcosa, trattate quella comunicazione con massima diffidenza.Come accennato all'inizio, non è la prima volta che LastPass finisce nei guai. Nel 2015 furono rubati hash delle password e salt crittografici, e nel 2022 un attaccante, compromettendo un account sviluppatore, riuscì poi ad accedere ai backup cloud con vault crittografati e dati personali non cifrati. Tre incidenti in dieci anni non sono un caso: sono un pattern che vale la pena tenere a mente quando si sceglie a chi affidare le proprie credenziali.Il settore dei password manager è per definizione un bersaglio ad alto valore: chi li attacca sa che, se va bene, può colpire migliaia di account in un colpo solo. Il fatto che i vault siano rimasti intatti è una buona notizia, ma la fiducia degli utenti in un servizio del genere si costruisce sul lungo periodo, e tre breach in pochi anni rendono quella fiducia sempre più difficile da mantenere.L'articolo Nuovo data breach per LastPass: ecco cosa è stato rubato sembra essere il primo su Smartworld.