Trattandosi di servizi che si offrono di memorizzare le password delle persone all’interno di una “cassaforte virtuale” protetta da una master password (l’unica che ci si deve ricordare), i server dei password manager sono fra i bersagli preferiti dagli hacker. Di per se questo non è un problema visto che i sistemi di sicurezza impiegati sono efficaci tuttavia, le cose si complicano quando viene scovato un bug che, senza troppi sforzi, consente l’accesso non autorizzato alle casseforti. Questo purtroppo è stato il caso di LastPass.

Con un aggiornamento rilasciato il 13 settembre, l’azienda ha sistemato un bug di sicurezza legato alla sua estensione per browser web. Il bug, scoperto da Tavis Ormandy del team Google Project Zero, funzionava attirando gli utenti su un falso sito web che ne imitava uno famoso riuscendo così ad ingannare l’estensione del browser invitandola ad utilizzare una password precedentemente salvata.

Ormandy sottolinea che gli hacker avrebbero potuto utilizzare un servizio come Google Translate per mascherare un URL dannoso e indurre gli utenti a visitare un sito non autorizzato. Insomma, si sarebbe trattato di unire una tecnica di phishing con il bug di LastPass.

https://twitter.com/taviso/status/1173401754257375232

Seppur LastPass assicura che l’aggiornamento della propria estensione avviene in automatico nei browser web, è bene assicurarsi che ciò avvenga veramente (per chi usa Google Chrome basta andare sul Chrome Web Store). L’ultima versione disponibile dell’estensione LastPass è la 4.33.0.

Nonostante la scoperta di questo bug, l’utilizzo di un password manager è una delle soluzioni più consigliate per incrementare la sicurezza dei propri dati. Tra l’altro, LastPass è solo una delle tante alternative disponibili sul web, fra cui ricordiamo 1Password, Dashlane e KeePass.

Leggi anche: Migliori Password Manager a confronto: Lastpass vs 1Password vs Dahslane vs Keepass