Se usi LastPass, è probabile che gli aggressori abbiano una copia della tua cassaforte e di tutte le tue password.

Cambiare ora la tua password master non aiuterà, poiché hanno già una copia che può essere aperta con la tua vecchia password.

Contesto:
LastPass, un noto gestore di password, è stato recentemente violato e tutte le password memorizzate dal servizio sono state rubate. Gli hacker sono riusciti a ottenere una copia di backup dei dati dei clienti del servizio, che conteneva dati sensibili e ovviamente le password, anche se crittografate. Il 22 dicembre, LastPass ha annunciato ufficialmente sul blog che si è verificata una violazione non autorizzata: gli hacker sono riusciti a ottenere una copia di backup che contiene “sia dati non crittografati come gli URL dei siti web sia tutti i dati sensibili crittografati come nomi utente, password, suggerimenti di sicurezza e dati per il completamento automatico dei moduli”.

Cosa fare?

1.) Non usare più LastPass.
Non sappiamo quanto sia grave la situazione. È possibile che gli aggressori abbiano ancora accesso. Quindi, non cambiare semplicemente le tue password e salvarle nuovamente in LastPass. Ci occuperemo prima degli account urgenti, manualmente, e poi configureremo un nuovo gestore di password.

2.) Se hai beni virtuali e avevi frasi di recupero nel tuo LastPass, devi assolutamente occupartene IMMEDIATAMENTE.
Crea nuovi portafogli, scrivi le frasi di recupero SOLO su un pezzo di carta e trasferisci tutti i tuoi beni nei nuovi portafogli.
Non perdere tempo a trovare una soluzione perfetta per la custodia, poiché è tempo che non hai. Se l’aggressore ha accesso alle tue frasi di recupero, può rubare i tuoi beni in qualsiasi momento e non puoi farci nulla per ripristinarli. Metti al sicuro i tuoi beni e poi pensa a una custodia a lungo termine.

3.) Cambia le tue password per scambi e altri prodotti finanziari.
Annota le tue password su carta per il momento. Usa password diverse per ciascun exchange.

Abilita la 2FA e assicurati che il codice 2FA non sia memorizzato in LastPass. Se lo è, rimuovi la 2FA e configurala nuovamente in un’altra app.

4.) Cambia le password per i tuoi account email.
Chiunque abbia accesso alle tue email può accedere ai tuoi altri account tramite i meccanismi di “recupero password”, quindi assicurati che le tue email siano sicure. Password uniche per ogni servizio, scrivile su carta, usa 2FA non salvata in LastPass.

5.) Cambia anche le password e la 2FA dei tuoi account Apple iCloud e Google.
Questi account possono probabilmente accedere ai dati sul tuo iPhone/Android tramite backup e sincronizzazioni su cloud ed escluderti potenzialmente, quindi cambiali il prima possibile.

6.) Ora hai protetto i tuoi dati più importanti. Ora configura un nuovo gestore di password.
Considera 1Password/Bitwarden/Keepass. Il nostro preferito è Keepass. Abbiamo anche pubblicato un video su questo.

Configuralo con una nuova e forte password master. Memorizza le tue nuove password in questo gestore. Nessuna frase di recupero! Queste sono troppo critiche per un gestore di password online.

7.) Ora che hai un nuovo gestore di password, utilizzalo per cambiare le password di tutti i tuoi account non critici.
Sì, tutti.
Probabilmente ne hai tanti, quindi dai la priorità ai più importanti. Account di lavoro, archiviazione di file/foto, social media.

8.) Abbiamo recentemente pubblicato il video “senza password”. Assicurati di guardarlo, poiché questo (token di sicurezza USB) aiuta a prevenire che accada di nuovo.