Ancora una volta i dati personali degli utenti LastPass finiscono nelle mani sbagliate
Chi affida le proprie credenziali a un gestore di password si aspetta che il confine della propria privacy coincida almeno con i server di quell’azienda. L’incidente che ha coinvolto LastPass questa settimana ricorda che quel confine è spesso molto più poroso: il breach non ha colpito LastPass direttamente, ma Klue, una società terza di marketing con cui LastPass integrava i propri sistemi di supporto.
Secondo il comunicato ufficiale di LastPass, Klue è stata violata l’11 giugno 2026. I dati sottratti includono nomi, numeri di telefono, indirizzi email, indirizzi fisici, dati dei casi di supporto e informazioni commerciali. LastPass ha precisato che i vault delle password restano intatti e che i propri prodotti e la propria infrastruttura non sono stati compromessi.
La responsabilità dell’attacco è stata rivendicata dal gruppo Icarus, che ha già contattato alcuni utenti minacciando di rendere pubblici i dati. LastPass ha avvisato la propria base utenti di prestare attenzione a tentativi di phishing e social engineering che potrebbero sfruttare le informazioni già esfiltrate per ottenere ulteriori accessi.
Il contesto storico pesa sulla reputazione dell’azienda. Nel 2022 LastPass subì una serie di violazioni che portarono alla compromissione dei vault cifrati di milioni di utenti. Secondo le analisi pubblicate dall’investigatore on-chain ZachXBT, da quelle credenziali rubate sono stati poi sottratti fondi per decine di milioni di dollari a oltre sessanta vittime identificate. Il caso più noto riguarda il co-fondatore di Ripple, Chris Larsen, che secondo le ricostruzioni perse 150 milioni di dollari in criptovalute dopo che le proprie chiavi private erano state esfiltrate tramite LastPass. Nel dicembre 2025, l’ICO britannica ha inflitto a LastPass una multa di 1,2 milioni di sterline per il breach del 2022, ritenendo che l’azienda avesse adottato misure tecniche insufficienti a proteggere il proprio database di backup, che aveva esposto 1,6 milioni di utenti del Regno Unito.
