Molti utenti LastPass segnalano che le loro password principali sono state compromesse dopo aver ricevuto avvisi via e-mail che qualcuno ha cercato di usarle per accedere ai propri account da posizioni sconosciute.
Le notifiche e-mail menzionano anche che i tentativi di accesso sono stati bloccati perché sono stati effettuati da località sconosciute in tutto il mondo.
“Qualcuno ha appena utilizzato la tua password principale per provare ad accedere al tuo account da un dispositivo o una posizione che non abbiamo riconosciuto”, avvertono gli avvisi di accesso.
“LastPass ha bloccato questo tentativo, ma dovresti dare un’occhiata più da vicino. Eri tu?”
LastPass dice che è un riempimento di credenziali
Nikolett Bacso-Albaum, Senior Director di LogMeIn Global PR/AR, ha dichiarato a BleepingComputer che “LastPass ha esaminato le recenti segnalazioni di tentativi di accesso bloccati e ha stabilito che l’attività è correlata a un’attività abbastanza comune relativa ai bot, in cui un malintenzionato o un malintenzionato tenta di accedere agli account utente ( in questo caso, LastPass) utilizzando indirizzi e-mail e password ottenuti da violazioni di terze parti relative ad altri servizi non affiliati.”
“È importante notare che non abbiamo alcuna indicazione che l’accesso agli account sia riuscito o che il servizio LastPass sia stato altrimenti compromesso da una parte non autorizzata. Monitoriamo regolarmente questo tipo di attività e continueremo ad adottare misure volte a garantire che LastPass, i suoi utenti e i loro dati rimangono protetti e al sicuro”, ha aggiunto Bacso-Albaum.
Tuttavia, gli utenti che hanno ricevuto questi avvisi hanno dichiarato che le loro password sono univoche per LastPass e non utilizzate altrove.
Sebbene LastPass non abbia condiviso alcun dettaglio su come gli attori delle minacce dietro questi tentativi di riempimento delle credenziali, i ricercatori di sicurezza Bob Diachenko hanno affermato di aver recentemente trovato migliaia di credenziali LastPass mentre esaminava i registri del malware Redline Stealer .
Clienti LastPass che hanno ricevuto tali avvisi di accesso che le loro e-mail non erano nell’elenco delle coppie di accesso raccolte da RedLine Stealer trovato da Diachenko.
Ciò significa che, almeno nel caso di alcuni di questi rapporti, gli attori delle minacce dietro i tentativi di acquisizione hanno utilizzato altri mezzi per rubare le password principali dei loro obiettivi.
Alcuni clienti hanno anche segnalato di aver cambiato le loro password principali da quando hanno ricevuto l’avviso di accesso, solo per ricevere un altro avviso dopo che la password è stata modificata.
A peggiorare le cose, i clienti che hanno provato a disabilitare ed eliminare i propri account LastPass dopo aver ricevuto questi avvisi segnalano anche [ 1 , 2 ] di aver ricevuto errori “Qualcosa è andato storto: A” dopo aver fatto clic sul pulsante “Elimina”.
Si consiglia agli utenti LastPass di abilitare l’autenticazione a più fattori per proteggere i propri account anche se la password principale è stata compromessa.
Due anni fa, a settembre 2019, LastPass ha risolto una vulnerabilità di sicurezza nell’estensione Chrome del gestore di password che avrebbe potuto consentire agli autori delle minacce di rubare le credenziali utilizzate per l’ultima volta per accedere a un sito.