Regno Unito: gestore di password colpito da data breach, multa a Lastpass per 1,2 milioni di sterline
Lo scorso 11 dicembre la Information Commissioner’s Office (ICO), l’autorità britannica per la protezione dei dati, ha inflitto una sanzione di £1,228,283 (circa 1,4 milioni di euro) a LastPass UK Ltd, la controllata britannica del popolare servizio di gestione delle password.
La decisione del garante inglese è arrivata a oltre tre anni da un attacco informatico che nel 2022 aveva esposto i dati personali di circa 1,6 milioni di utenti nel Regno Unito, sollevando interrogativi sulla sicurezza delle piattaforme di password management e sulle responsabilità delle grandi aziende tecnologiche nella protezione delle informazioni sensibili.
LastPass è noto a livello globale come uno dei principali strumenti per conservare, in forma criptata, le credenziali di accesso di migliaia di servizi online. La promessa è semplice ma potente: grazie a un sistema di crittografia “zero-knowledge”, né LastPass né terzi possono decifrare le password dei clienti, che vengono sbloccate solo sul dispositivo dell’utente con la sua chiave di accesso personale. Tuttavia, la multa dell’ICO non riguarda direttamente la decrittazione delle password, ma una violazione delle misure tecniche e organizzative di sicurezza che avrebbero dovuto prevenire il data breach del 2022.
Secondo la ricostruzione dell’ICO, la violazione è stata il risultato di una combinazione di due incidenti distinti ma collegati:
- Nel primo episodio, un attaccante aveva compromesso il portatile aziendale di un dipendente di LastPass in Europa, ottenendo l’accesso all’ambiente di sviluppo. Anche se inizialmente non furono sottratti dati personali, gli hacker riuscirono comunque a ottenere le credenziali interne crittografate.
- Nel secondo episodio, l’attaccante aveva colpito un altro dipendente – questa volta negli Stati Uniti – sfruttando una vulnerabilità in un’applicazione di terze parti installata sul suo dispositivo personale. Questo aveva permesso di installare un keylogger, catturare il master password del dipendente e bypassare l’autenticazione a più fattori, con conseguente accesso ai vault aziendali di LastPass e alle chiavi AWS necessarie per raggiungere il database di backup.
La combinazione di questi due attacchi aveva consentito l’estrazione di informazioni personali – tra cui nomi, indirizzi email, numeri di telefono e URL dei siti visitati – appartenenti a fino a 1,6 milioni di utenti britannici.
L’ICO ha però sottolineato che, grazie alla crittografia “zero knowledge”, non vi è alcuna evidenza che le password stesse siano state decriptate o rese leggibili dagli hacker.
Nella sua decisione, l’ICO ha rilevato che LastPass ha violato gli articoli 5(1)(f) e 32(1) del GDPR britannico, che impongono alle organizzazioni di garantire l’integrità, la riservatezza e adeguate misure di sicurezza per i dati personali. Tra le criticità evidenziate vi sono state la possibilità per dipendenti di utilizzare dispositivi personali potenzialmente insicuri e la mancanza di una separazione netta tra account personali e aziendali, che ha facilitato l’accesso alle chiavi di sicurezza critiche.
Nel comunicato stampa che rende nota la sanzione, John Edwards, Comissioner dell’ICO, ha spiegato che “i clienti di LastPass avevano il diritto di aspettarsi che le loro informazioni personali fossero mantenute al sicuro e protette” e ha esortato le aziende del Regno Unito a rivedere con urgenza le proprie difese contro i rischi di attacco simili.
La multa a LastPass segna un momento significativo nel panorama della regolamentazione dei dati: non solo evidenzia la responsabilità diretta dei fornitori di servizi digitali nel proteggere le informazioni degli utenti, ma sottolinea anche come la semplice crittografia non sia sufficiente se non è accompagnata da solide pratiche di sicurezza interna e gestione dei rischi.
Nonostante la sanzione, LastPass ha continuato a ribadire il proprio impegno verso la sicurezza, affermando di aver cooperato con l’ICO sin dall’inizio dell’indagine e di aver adottato successivamente miglioramenti alle proprie infrastrutture e procedure di sicurezza.
Fonte: Information Commissioner’s Office
