Dopo essere stata violata per la seconda volta
negli ultimi 4 mesi, l’applicazione di gestione delle password Lastpass ha annunciato giovedì che l’ultima intrusione è stata molto più dannosa di quanto riportato inizialmente: in alcuni casi gli aggressori sono riusciti a impossessarsi dei caveau di password degli utenti. Ciò significa che i ladri sono in possesso delle intere collezioni di dati personali criptati degli utenti, se non del metodo immediato per sbloccarli.
“Durante l’incidente dell’agosto del 2022 non è stato effettuato alcun accesso ai dati dei clienti“, ha spiegato Karim Toubba, CEO di LastPass. Tuttavia, è stato prelevato parte del codice sorgente dell’applicazione e poi utilizzato per spear phising di un dipendente di Lastpass per fargli consegnare le proprie credenziali di accesso, quindi ha usato quelle chiavi per decifrare e copiare “alcuni volumi di archiviazione all’interno del servizio di archiviazione basato su cloud“.
Tra i dati criptati ottenuti dagli hacker c’erano informazioni di base sugli account dei clienti, come nomi di aziende, indirizzi di fatturazione, e-mail e IP e numeri di telefono, ha proseguito Toubba. “Questi campi criptati rimangono protetti dalla crittografia AES a 256 bit e possono essere decifrati solo con una chiave di crittografia unica derivata dalla password principale di ogni utente, grazie alla nostra architettura Zero Knowledge“, ha dichiarato Toubba. “Come promemoria, la password principale non è mai nota a LastPass e non viene memorizzata o mantenuta da LastPass“.
La seconda violazione
Ma facciamo un passo indietro all’inizio di Dicembre, quando Karim Toubba, CEO di LastPass, ha rivelato che il gestore di password è stato nuovamente violato dopo l’intrusione di Agosto. Toubba ha dichiarato che l’azienda ha rilevato un’attività insolita all’interno di un servizio di cloud storage di terze parti che condivide con la società madre GoTo, precedentemente nota come LogMeIn. Per indagare sull’incidente, LastPass ha collaborato con la società di sicurezza Mandiant. Insieme, hanno stabilito che la parte non autorizzata è entrata nel servizio cloud di LastPass utilizzando le informazioni ottenute dalla violazione della sicurezza subita nell’agosto di quest’anno. Inoltre, hanno scoperto che il malintenzionato è stato in grado di accedere ad “alcuni elementi” delle informazioni dei clienti.
Se ricordate, LastPass è stato violato in agosto e Toubba ha ammesso, dopo un’indagine, che la parte non autorizzata ha avuto accesso interno ai suoi sistemi per quattro giorni. L’hacker è riuscito a rubare parte del codice sorgente e delle informazioni tecniche del gestore di password, ma LastPass ha dichiarato che i dati dei clienti e i caveau di password criptate sono rimasti intatti (cosa che ora sappiamo essere non vera). A quanto pare, l’accesso dell’hacker era limitato all’ambiente di sviluppo del servizio. Anche se questa volta la parte non autorizzata è riuscita ad accedere ad alcune informazioni sugli utenti, LastPass ha dichiarato che le password dei clienti rimangono criptate in modo sicuro.
Con un proprio annuncio, il fornitore di strumenti di lavoro e collaborazione a distanza GoTo ha ammesso che i malintenzionati sono riusciti a entrare nel suo ambiente di sviluppo. Come LastPass, l’azienda ha assicurato ai clienti che i suoi prodotti e servizi sono pienamente funzionanti nonostante la violazione. Il gestore di password e la sua società madre stanno ancora indagando sull’incidente per comprenderne la portata, per cui è probabile che nei prossimi mesi si avranno maggiori dettagli.
Suggerimenti di Lastpass
Scrive LastPass: “L’autore della minaccia potrebbe tentare di usare la forza bruta per indovinare la password master e decifrare le copie dei dati del caveau che ha preso. Grazie ai metodi di hashing e crittografia che utilizziamo per proteggere i nostri clienti, sarebbe estremamente difficile tentare di indovinare con la forza bruta le password master per i clienti che seguono le nostre best practice in materia di password. Testiamo regolarmente le più recenti tecnologie di cracking delle password contro i nostri algoritmi per tenere il passo e migliorare i nostri controlli crittografici.” E ancora: “L’autore della minaccia può anche prendere di mira i clienti con attacchi di phishing, credential stuffing o altri attacchi a forza bruta contro gli account online associati al vostro vault LastPass.”.
Che fare?
Ma vi fidate della parola dell’azienda? Io no. Sarà una seccatura, ma sostituire tutte le password dei siti esistenti con altre nuove, oltre a scegliere una nuova password principale, potrebbe rivelarsi necessario per riconquistare la sicurezza online. In alternativa, potete semplicemente dire a Lastpass di andare a farsi benedire e passare a 1Password o Bitwarden.
