Aggiornamenti sulla sicurezza di LastPass

La sicurezza è fondamentale per quello che facciamo qui in LastPass. La nostra massima priorità è sempre quella di rispondere ai report che segnalano problemi di sicurezza e di risolvere tali problemi il più rapidamente possibile.

Per dare seguito a notizie recenti, desideriamo affrontare in modo più dettagliato due report sulla sicurezza che sono stati resi noti al nostro team. Un report ci è stato reso noto ieri, mentre l’altro era stato responsabilmente segnalato, e il problema risolto, oltre un anno fa. In particolare, per entrambi gli exploit è necessario ingannare l’utente mediante un attacco di phishing, inducendolo a visitare un sito web dannoso.

Il primo report è stato responsabilmente segnalato al nostro team oltre un anno fa dal ricercatore ed esperto di sicurezza Mathias Karlsson, e il problema è stato risolto prontamente. Karlsson ha recentemente pubblicato le sue scoperte sul bug di parsing degli URL. Tutti i client su browser sono stati aggiornati e Karlsson ha confermato che in quel momento il problema era stato risolto, senza richiedere alcuna azione da parte dei nostri utenti.

Il secondo report è di ieri, da parte del ricercatore del Google Security Team, Tavis Ormandy, che ha contattato il nostro team per segnalare un bug di dirottamento dei messaggi che interessava l’addon per Firefox di LastPass. Per prima cosa l’aggressore dovrebbe riuscire ad attirare un utente di LastPass su un sito web dannoso. Una volta lì, Ormandy ha dimostrato che il sito web può eseguire in background azioni di LastPass, come l’eliminazione di elementi, all’insaputa dell’utente. Come indicato di seguito, questo problema è stato affrontato e completamente risolto, ed è stato eseguito il push di un aggiornamento con la correzione per tutti gli utenti di Firefox che utilizzano LastPass 4.0.

Ulteriori raccomandazioni

Sappiamo che la community di LastPass è molto attenta alla sicurezza ed esperta in materia, ma vorremmo ricordarvi caldamente di osservare le seguenti best practice per la sicurezza online:

  • Fate attenzione agli attacchi di phishing. Non cliccate sui link ricevuti da persone che non conoscete, o che sembrano insoliti per provenire dai vostri contatti e aziende di fiducia.
  • Usate una password diversa e unica per ogni account online.
  • Usate una master password forte e sicura per il vostro account LastPass, e non rivelatela mai a nessuno, nemmeno a noi.
  • Attivate l’autenticazione a due fattori per LastPass e altri servizi come la vostra banca, e-mail, Twitter, Facebook, ecc.
  • Mantenete pulito il computer o dispositivo eseguendo un antivirus e mantenendo aggiornato il software.

Grazie ancora a Tavis e Mathias, e agli altri membri della community della sicurezza, per la loro responsabile segnalazione. Apprezziamo molto il loro lavoro, che ci aiuta a creare un prodotto più forte e più sicuro.

____

Desideriamo condividere con la community di LastPass un rapido aggiornamento sulle importanti correzioni che abbiamo introdotto in risposta ai due recenti report sulla sicurezza. Il nostro team ha collaborato direttamente con i ricercatori di sicurezza per verificare i report segnalati e rilasciare una correzione per tutti gli utenti di LastPass.

Il report recente interessa solo gli utenti di Firefox. Se siete utenti di Firefox e usate LastPass 4.0 o versioni successive, sarà eseguito il push dell’aggiornamento con la correzione tramite il vostro browser nella versione 4.1.21a. Se desiderate aggiornare proattivamente il vostro client, potete aggiornarlo con il nostro link di download: https://lastpass.com/lastpassffx. Potete verificare la versione di LastPass in esecuzione nel vostro browser nel menu Altre opzioni > Informazioni su LastPass. Se avete LastPass 3.0, non siete interessati dal problema e non è necessario che effettuiate l’aggiornamento.

Questo report non riguarda gli altri browser, e pertanto per essi non è richiesta alcuna azione da parte degli utenti.

Come sempre, apprezziamo il lavoro della community della sicurezza, che mette alla prova il nostro prodotto e ci consente di fornire un servizio sicuro ai nostri utenti. A breve pubblicheremo qui ulteriori informazioni su queste correzioni.