La sicurezza è fondamentale per quello che facciamo qui in LastPass. La nostra massima priorità è sempre quella di rispondere ai report che segnalano problemi di sicurezza e di risolvere tali problemi il più rapidamente possibile.
Per dare seguito a notizie recenti, desideriamo affrontare in modo più dettagliato due report sulla sicurezza che sono stati resi noti al nostro team. Un report ci è stato reso noto ieri, mentre l'altro era stato responsabilmente segnalato, e il problema risolto, oltre un anno fa. In particolare, per entrambi gli exploit è necessario ingannare l'utente mediante un attacco di phishing, inducendolo a visitare un sito web dannoso.
Il primo report è stato responsabilmente segnalato al nostro team oltre un anno fa dal ricercatore ed esperto di sicurezza Mathias Karlsson, e il problema è stato risolto prontamente. Karlsson ha recentemente pubblicato le sue scoperte sul bug di parsing degli URL. Tutti i client su browser sono stati aggiornati e Karlsson ha confermato che in quel momento il problema era stato risolto, senza richiedere alcuna azione da parte dei nostri utenti.
Il secondo report è di ieri, da parte del ricercatore del Google Security Team, Tavis Ormandy, che ha contattato il nostro team per segnalare un bug di dirottamento dei messaggi che interessava l'addon per Firefox di LastPass. Per prima cosa l'aggressore dovrebbe riuscire ad attirare un utente di LastPass su un sito web dannoso. Una volta lì, Ormandy ha dimostrato che il sito web può eseguire in background azioni di LastPass, come l'eliminazione di elementi, all'insaputa dell'utente. Come indicato di seguito, questo problema è stato affrontato e completamente risolto, ed è stato eseguito il push di un aggiornamento con la correzione per tutti gli utenti di Firefox che utilizzano LastPass 4.0.
Ulteriori raccomandazioni
Sappiamo che la community di LastPass è molto attenta alla sicurezza ed esperta in materia, ma vorremmo ricordarvi caldamente di osservare le seguenti best practice per la sicurezza online:
- Fate attenzione agli attacchi di phishing. Non cliccate sui link ricevuti da persone che non conoscete, o che sembrano insoliti per provenire dai vostri contatti e aziende di fiducia.
- Usate una password diversa e unica per ogni account online.
- Usate una master password forte e sicura per il vostro account LastPass, e non rivelatela mai a nessuno, nemmeno a noi.
- Attivate l'autenticazione a due fattori per LastPass e altri servizi come la vostra banca, e-mail, Twitter, Facebook, ecc.
- Mantenete pulito il computer o dispositivo eseguendo un antivirus e mantenendo aggiornato il software.