La notizia in sintesi
- LastPass segnala un nuovo incidente legato al fornitore terzo Klue.
- Sono stati sottratti dati personali e informazioni di supporto degli utenti.
- I vault delle password non risultano compromessi, secondo il comunicato ufficiale.
- Il caso riapre i dubbi sulla sicurezza dopo le violazioni subite nel 2022.
(Riassunto generato con AI)
Violazione indiretta e dati esposti
LastPass torna al centro dell’attenzione per un nuovo incidente di sicurezza che, nelle ultime ore, ha coinvolto i dati personali di alcuni utenti attraverso Klue, società terza di marketing integrata nei sistemi di supporto dell’azienda. Secondo il comunicato ufficiale di LastPass, la violazione ha colpito Klue l’11 giugno 2026 e non l’infrastruttura diretta del gestore di password. Sono stati sottratti nomi, numeri di telefono, indirizzi email, indirizzi fisici, dati relativi ai casi di assistenza e informazioni commerciali.
LastPass ha precisato che i vault delle password non sono stati toccati e che prodotti e infrastruttura propri non risultano compromessi. Il punto centrale della vicenda, però, è che l’accesso a dati personali e di supporto può comunque aumentare il rischio di attacchi mirati contro gli utenti. Per questo l’azienda ha invitato la propria base clienti a prestare particolare attenzione a tentativi di phishing e operazioni di social engineering costruite sulle informazioni già esfiltrate.
La responsabilità dell’attacco è stata rivendicata dal gruppo Icarus, che avrebbe già contattato alcuni utenti minacciando la pubblicazione dei dati sottratti. Il caso conferma un elemento spesso sottovalutato nella filiera della sicurezza digitale: anche quando il sistema principale non viene violato direttamente, un fornitore esterno può trasformarsi in un punto critico per la protezione delle informazioni sensibili.
Il peso dei precedenti sulla credibilità
L’episodio che coinvolge Klue assume una rilevanza maggiore perché colpisce LastPass in un contesto reputazionale già fragile. Nel 2022 l’azienda aveva subito una serie di violazioni che portarono alla compromissione dei vault cifrati di milioni di utenti. Da allora, ogni nuovo incidente viene inevitabilmente letto non come un fatto isolato, ma come parte di una sequenza che incide sulla fiducia nel marchio e nella sua capacità di presidiare l’intero ecosistema operativo, compresi i partner esterni.
Le conseguenze di quel precedente restano centrali nella memoria del settore. Secondo le analisi pubblicate dall’investigatore on-chain ZachXBT, dalle credenziali rubate nel 2022 sarebbero stati poi sottratti fondi per decine di milioni di dollari a oltre sessanta vittime identificate. Tra i casi più citati c’è quello del co-fondatore di Ripple, Chris Larsen, che secondo le ricostruzioni avrebbe perso 150 milioni di dollari in criptovalute dopo l’esfiltrazione delle proprie chiavi private tramite LastPass.
A rafforzare il quadro c’è anche il profilo regolatorio. Nel dicembre 2025, l’ICO britannica ha inflitto a LastPass una multa da 1,2 milioni di sterline per il breach del 2022, ritenendo insufficienti le misure tecniche adottate per proteggere il database di backup. Secondo quanto contestato, quell’episodio aveva esposto 1,6 milioni di utenti del Regno Unito. In questa prospettiva, la nuova violazione indiretta non riguarda solo i dati sottratti oggi, ma anche la capacità dell’azienda di dimostrare continuità nella gestione del rischio.
Il nodo più delicato è proprio la qualità delle informazioni trafugate. Nomi, contatti, indirizzi e dettagli di supporto non equivalgono ai contenuti dei vault, ma offrono materiale utile per costruire messaggi credibili, simulare comunicazioni di assistenza e tentare ulteriori accessi. È qui che la distinzione tra infrastruttura interna salva e dati esterni compromessi perde parte della sua forza sul piano pratico per gli utenti esposti.
Le possibili conseguenze per gli utenti
La linea di difesa indicata da LastPass è la vigilanza contro phishing e social engineering, un avvertimento coerente con la natura dei dati sottratti e con la rivendicazione del gruppo Icarus. Se i vault non risultano compromessi, il rischio immediato si sposta infatti sulle interazioni future: email, telefonate o richieste di assistenza apparentemente legittime potrebbero usare informazioni autentiche per guadagnare fiducia e ottenere credenziali aggiuntive.
Per LastPass, questo episodio è anche un test di affidabilità pubblica. Dopo il 2022 e la sanzione dell’ICO, la gestione di una nuova esposizione, seppure indiretta, sarà valutata soprattutto sulla trasparenza delle comunicazioni e sulla capacità di contenere gli effetti secondari dell’attacco. Più che il danno tecnico immediato, a pesare sarà la tenuta della fiducia in un servizio che per definizione custodisce l’accesso alla vita digitale degli utenti.
FAQ
Che cosa è successo a LastPass?
Sì, LastPass ha segnalato una violazione indiretta: l’attacco ha colpito Klue, partner terzo collegato ai sistemi di supporto, con furto di dati personali e commerciali.
Quali dati degli utenti sono stati sottratti?
Sì, risultano esposti nomi, numeri di telefono, email, indirizzi fisici, dati dei casi di supporto e informazioni commerciali, secondo il comunicato ufficiale diffuso da LastPass.
I vault delle password sono stati violati?
Sì, secondo LastPass i vault delle password restano intatti e non risultano compromessi né i prodotti né l’infrastruttura diretta dell’azienda.
Perché l’incidente è considerato rilevante?
Sì, pesa il precedente del 2022: violazioni ai vault cifrati, analisi di ZachXBT, il caso Chris Larsen e la multa dell’ICO britannica nel 2025.
Qual è la fonte originale della notizia?
Sì, la fonte originale dell’articolo è derivata da una elaborazione congiunta delle fonti ufficiali Ansa.it, Adnkronos.it, Asca.it ed Agi.it, rielaborate dalla nostra Redazione.
