C’è una differenza sottile tra un ‘avviso di sicurezza’ e un esercizio di stile per non dire assolutamente nulla. Se state cercando di capire se i vostri dati sono al sicuro dopo l’ultimo comunicato di Dashlane, vi svelo subito un segreto: non lo saprete, perché nemmeno loro sembrano volerlo dire chiaramente.
La notizia, che arriva da Ars Technica, è piuttosto pesante: circa 20 vault crittografati sono stati rubati. Sì, avete letto bene. Non parliamo di una violazione parziale o di qualche metadato innocuo, ma di interi cassaforte digitali che sono finiti nelle mani sbagliate. La cosa surreale non è solo l’incidente in sé (che fa paura, non giriamoci intorno), ma il modo in cui l’azienda ha gestito la comunicazione. Il loro ‘security advisory’ è così vago e fumoso che sembra scritto da un ufficio legale che ha appena scoperto che il server è in fiamme ma non vuole far scattare l’allarme antincendio.
Da smanettone che non si fida nemmeno del proprio specchio, trovo questa opacità profondamente irritante. Quando si parla di password manager, la fiducia è l’unica valuta che conta. Se un vendor non è in grado di spiegare esattamente cosa è successo, come sono entrati e quali misure sta prendendo per non far ripetere il disastro, allora il rischio non è solo nel leak, ma proprio nell’utilizzo del servizio.
Per noi che amiamo smontare hardware, scrivere script per automatizzare la nostra vita o gestire server domestici pieni di configurazioni critiche, il messaggio è chiaro: il vendor lock-in è una trappola se non c’è trasparenza. Affidare la propria chiave digitale a un servizio cloud è sempre un rischio, ma farlo con un servizio che applica il ‘corporate-speak’ per nascondere i dettagli tecnici è un suicidio digitale.
Cosa dobbiamo fare? Se usate Dashlane, la prima cosa è controllare se siete tra i colpiti, ma senza aspettarvi una risposta chiara dal loro supporto. Il consiglio da maker è sempre lo stesso: non fidatevi ciecamente del cloud. Se potete, usate soluzioni che vi permettano di mantenere il controllo delle chiavi (e dei backup) in mano vostra. In un mondo dove i servizi centralizzati decidono quanto possono essere onesti con voi, l’unica difesa è l’autonomia.
In breve: Dashlane ha fatto il vuoto a rendere. E noi, come sempre, dobbiamo essere pronti a gestire il backup prima che il prossimo ‘avviso opaco’ ci trovi impreparati.
Source: Can't make sense of Dashlane's vault theft notification? You're not alone.