La violazione di LastPass del 2022 spiegata: cosa è stato rubato, cosa significa e come migrare altrove
Ad agosto / novembre 2022, gli aggressori hanno esfiltrato i backup cloud di LastPass, comprese le casseforti utente cifrate più i metadati non cifrati. Ecco cosa è documentato e cosa fare ora se hai ancora un account LastPass.
Cronologia documentata
Secondo gli avvisi sull'incidente pubblicati da LastPass: ad agosto 2022, gli aggressori hanno compromesso la macchina di uno sviluppatore di LastPass e accesso al codice sorgente. A novembre 2022, gli aggressori hanno usato le credenziali ottenute dall'incidente di agosto per accedere ai backup cloud nello storage cloud di terze parti di LastPass. Quei backup contenevano le casseforti dei clienti cifrate più metadati non cifrati — URL delle casseforti, indirizzi e-mail degli account, informazioni di fatturazione. LastPass ha reso pubblico il furto di dati il 22 dicembre 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Cosa protegge davvero la cifratura
Le casseforti di LastPass sono cifrate con AES-256, con la chiave derivata dalla master password tramite PBKDF2. La robustezza della protezione dipende da (a) l'entropia della master password e (b) il numero di iterazioni PBKDF2. Il numero di iterazioni PBKDF2 predefinito di LastPass era 5.000 per i vecchi account, prima di essere aumentato a 100.100 nel 2018. Gli account creati prima del 2018 potrebbero avere ancora un numero basso di iterazioni a meno che l'utente non l'abbia aggiornato manualmente — gli avvisi sull'incidente di LastPass lo documentano. Una master password debole con un basso numero di iterazioni è forzabile offline; una master password robusta con 100.100+ iterazioni non lo è, con l'hardware attuale.
Cosa fare se hai o hai avuto un account LastPass
Passo 1: esporta la tua cassaforte LastPass dalla console web (Impostazioni → Opzioni avanzate → Esporta). Passo 2: importala in Bitwarden o 1Password (entrambi hanno importer diretti per LastPass documentati su bitwarden.com/help/import-from-lastpass e 1password.com/help). Passo 3: ruota le password di qualsiasi account ad alto costo di divulgazione — finanziari, e-mail, social principali. Passo 4: abilita la 2FA su qualsiasi account che la supporti. Passo 5: elimina l'account LastPass dalla console web. Se la tua master password era robusta (12+ caratteri casuali o passphrase di 6+ parole), la cassaforte cifrata è computazionalmente sicura; la rotazione è precauzionale. Se la tua master password era debole, considera gli account ad alto valore come compromessi.
Perché la violazione ha colpito la categoria dei password manager, non solo LastPass
La violazione di LastPass ha spinto i ricercatori di sicurezza a esaminare con maggiore attenzione le scelte architetturali dell'intera categoria. Due insegnamenti specifici: (1) i numeri di iterazione della cifratura non sono tutti uguali — la differenza tra 5.000 e 100.100 iterazioni PBKDF2 è notevole. Argon2id (la KDF moderna usata da Bitwarden e altri) è di nuovo sostanzialmente più robusta. (2) L'esposizione dei metadati (URL degli account, indirizzi e-mail) è un danno reale alla privacy anche quando i contenuti della cassaforte rimangono cifrati, perché i metadati aiutano un aggressore a stabilire le priorità tra i bersagli. I manager moderni sottoposti ad audit limitano i metadati nel livello dei dati a riposo.
Fonti
Avvisi ufficiali sull'incidente di LastPass: blog.lastpass.com/posts/notice-of-recent-security-incident. Importer LastPass di Bitwarden: bitwarden.com/help/import-from-lastpass. Guida 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Tutti gli URL consultati il 2026-04-30.