LastPass hackerato: la situazione al 22 dicembre 2022

LastPass hackerato

Indice dei contenuti

LastPass hackerato: Per chi non sapesse di cosa sto parlando, ad agosto 2022 il noto gestore di password LastPass è stato hackerato. Qui di seguito, voglio aggiornarvi direttamente tramite le parole del CEO di LastPass Karim Toubba del 22 dicembre 2022, che ho tradotto per voi (con il traduttore di Google, perdonatemi…).

Alla nostra community LastPass,
Di recente ti abbiamo comunicato che una parte non autorizzata ha ottenuto l’accesso a un servizio di archiviazione basato su cloud di terze parti, che LastPass utilizza per archiviare i backup archiviati dei nostri dati di produzione. In linea con il nostro impegno per la trasparenza, desideriamo fornirvi un aggiornamento in merito alla nostra indagine in corso.

Cosa abbiamo imparato

Sulla base della nostra indagine fino ad oggi, abbiamo appreso che un autore di minacce sconosciuto ha avuto accesso a un ambiente di archiviazione basato su cloud sfruttando le informazioni ottenute dall’incidente che abbiamo precedentemente divulgato nell’agosto del 2022. Sebbene non sia stato effettuato l’accesso ai dati dei clienti durante l’incidente dell’agosto 2022, alcune fonti codice e informazioni tecniche sono stati rubati dal nostro ambiente di sviluppo e utilizzati per prendere di mira un altro dipendente, ottenendo credenziali e chiavi che sono state utilizzate per accedere e decrittografare alcuni volumi di archiviazione all’interno del servizio di archiviazione basato su cloud.

I servizi di produzione LastPass attualmente operano da data center locali con archiviazione basata su cloud utilizzata per vari scopi, come l’archiviazione di backup e requisiti di residenza dei dati regionali. Il servizio di cloud storage a cui accede l’autore della minaccia è fisicamente separato dal nostro ambiente di produzione.

Ad oggi, abbiamo stabilito che una volta ottenute la chiave di accesso all’archiviazione cloud e le chiavi di decrittografia del doppio contenitore di archiviazione, l’autore della minaccia ha copiato le informazioni dal backup che contenevano le informazioni di base sull’account del cliente e i relativi metadati, inclusi nomi di società, nomi degli utenti finali, indirizzi di fatturazione, indirizzi e-mail, numeri di telefono e indirizzi IP da cui i clienti accedevano al servizio LastPass.

L’autore della minaccia è stato anche in grado di copiare un backup dei dati del caveau del cliente dal contenitore di archiviazione crittografato che è archiviato in un formato binario proprietario che contiene sia dati non crittografati, come gli URL dei siti Web, sia campi sensibili completamente crittografati come i nomi utente dei siti Web e password, note sicure e dati compilati in moduli. Questi campi crittografati rimangono protetti con la crittografia AES a 256 bit e possono essere decrittografati solo con una chiave di crittografia univoca derivata dalla password principale di ciascun utente utilizzando la nostra architettura Zero Knowledge. Come promemoria, la password principale non è mai nota a LastPass e non è memorizzata o gestita da LastPass. La crittografia e la decrittografia dei dati vengono eseguite solo sul client LastPass locale. Per ulteriori informazioni sulla nostra architettura Zero Knowledge e sugli algoritmi di crittografia, vedere qui.

Non ci sono prove che sia stato effettuato l’accesso a dati non crittografati della carta di credito. LastPass non memorizza i numeri completi della carta di credito e le informazioni sulla carta di credito non vengono archiviate in questo ambiente di archiviazione cloud.

Cosa significa questo? I miei dati sono a rischio?

L’autore della minaccia può tentare di utilizzare la forza bruta per indovinare la tua password principale e decrittografare le copie dei dati del vault che ha preso. A causa dei metodi di hashing e crittografia che utilizziamo per proteggere i nostri clienti, sarebbe estremamente difficile tentare di indovinare con la forza bruta le password principali per quei clienti che seguono le nostre best practice per le password. Testiamo regolarmente le più recenti tecnologie di cracking delle password rispetto ai nostri algoritmi per tenere il passo e migliorare i nostri controlli crittografici.

L’autore della minaccia può anche prendere di mira i clienti con attacchi di phishing, credential stuffing o altri attacchi di forza bruta contro gli account online associati alla tua cassaforte LastPass. Per proteggerti da attacchi di social engineering o phishing, è importante sapere che LastPass non ti chiamerà, non ti invierà email né ti invierà messaggi di testo chiedendoti di fare clic su un collegamento per verificare le tue informazioni personali. A parte quando accedi al tuo caveau da un client LastPass, LastPass non ti chiederà mai la tua password principale.

Cosa dovrebbero fare i clienti LastPass?

Come promemoria, le impostazioni e le best practice predefinite per la password principale di LastPass includono quanto segue:

  • Dal 2018 richiediamo un minimo di dodici caratteri per le password principali. Ciò riduce notevolmente la capacità di indovinare con successo la forza bruta della password.
  • Per aumentare ulteriormente la sicurezza della tua password principale, LastPass utilizza un’implementazione più forte del solito di 100.100 iterazioni della funzione di derivazione della chiave basata su password (PBKDF2), un algoritmo di rafforzamento della password che rende difficile indovinare la tua password principale. Puoi controllare il numero corrente di iterazioni PBKDF2 per il tuo account LastPass qui.
  • Ti consigliamo inoltre di non riutilizzare mai la tua password principale su altri siti web. Se riutilizzi la tua password principale e quella password è mai stata compromessa, un malintenzionato potrebbe utilizzare dump di credenziali compromesse che sono già disponibili su Internet per tentare di accedere al tuo account (questo è indicato come attacco di “credential stuffing”).

Se utilizzi le impostazioni predefinite di cui sopra, ci vorrebbero milioni di anni per indovinare la tua password principale utilizzando la tecnologia di cracking delle password generalmente disponibile. I dati sensibili del tuo caveau, come nomi utente e password, note sicure, allegati e campi di compilazione dei moduli, rimangono crittografati in modo sicuro in base all’architettura Zero Knowledge di LastPass. Non ci sono azioni consigliate che devi intraprendere in questo momento.

Tuttavia, è importante notare che se la tua password principale non utilizza le impostazioni predefinite di cui sopra, ridurrebbe notevolmente il numero di tentativi necessari per indovinarla correttamente. In questo caso, come misura di sicurezza aggiuntiva, dovresti considerare di ridurre al minimo i rischi modificando le password dei siti web che hai memorizzato.

Per quei clienti aziendali che hanno implementato i servizi di accesso federato di LastPass, LastPass mantiene la nostra architettura Zero Knowledge e implementa una password principale nascosta per crittografare i dati del tuo caveau. A seconda del modello di implementazione scelto, questa password principale nascosta è in realtà una combinazione di due o più stringhe casuali generate crittograficamente lunghe 256 bit o 32 caratteri memorizzate separatamente che devono essere combinate in modo specifico per l’uso (puoi leggere di più su questo nel nostro White paper tecnico qui).

L’autore della minaccia non aveva accesso ai frammenti di chiave archiviati nell’infrastruttura del provider di identità del cliente o di LastPass e non erano inclusi nei backup copiati che contenevano i depositi del cliente. Pertanto, se hai implementato i servizi di accesso federato, non è necessario intraprendere alcuna azione aggiuntiva.

Tuttavia, è importante notare che se sei un cliente aziendale che non utilizza l’accesso federato e la tua password principale non utilizza le impostazioni predefinite di cui sopra, ridurrebbe notevolmente il numero di tentativi necessari per indovinarla correttamente. In questo caso, come misura di sicurezza aggiuntiva, dovresti considerare di ridurre al minimo i rischi modificando le password dei siti web che hai memorizzato.

Cosa abbiamo fatto e cosa stiamo facendo

In risposta all’incidente dell’agosto 2022, abbiamo sradicato qualsiasi ulteriore potenziale accesso all’ambiente di sviluppo di LastPass disattivando l’ambiente nella sua interezza e ricostruendo un nuovo ambiente da zero. Abbiamo anche sostituito e rafforzato ulteriormente le macchine, i processi e i meccanismi di autenticazione degli sviluppatori.

Abbiamo aggiunto ulteriori funzionalità di registrazione e avviso per aiutare a rilevare qualsiasi ulteriore attività non autorizzata, inclusa una seconda linea di difesa con un fornitore leader di rilevamento e risposta degli endpoint gestiti per integrare il nostro team. Abbiamo anche continuato a realizzare i nostri piani di implementazione di un nuovo set di ambienti di sviluppo e produzione LastPass completamente dedicato.

In risposta a questo incidente più recente, stiamo ruotando attivamente tutte le credenziali e i certificati pertinenti che potrebbero essere stati interessati e integrando la sicurezza degli endpoint esistente. Stiamo inoltre eseguendo un’analisi esaustiva di ogni account con segni di qualsiasi attività sospetta all’interno del nostro servizio di cloud storage, aggiungendo ulteriori misure di sicurezza all’interno di questo ambiente e analizzando tutti i dati all’interno di questo ambiente per assicurarci di capire a cosa ha avuto accesso l’autore della minaccia.

Abbiamo già avvisato un piccolo sottoinsieme (meno del 3%) dei nostri clienti Business di raccomandare loro di intraprendere determinate azioni in base alle loro specifiche configurazioni dell’account. Se sei un cliente Business e non sei ancora stato contattato per intraprendere un’azione, al momento non ci sono altre azioni consigliate da intraprendere.

Questa rimane un’indagine in corso. Abbiamo informato le forze dell’ordine e le autorità di regolamentazione competenti di questo incidente per cautela. Ci impegniamo a tenerti informato sulle nostre scoperte e ad aggiornarti sulle azioni che stiamo intraprendendo e su qualsiasi azione che potresti dover eseguire. Nel frattempo, i nostri servizi funzionano normalmente e continuiamo a operare in uno stato di massima allerta.

Vi ringraziamo per il vostro continuo supporto e pazienza mentre continuiamo a lavorare su questo incidente.

Karim Toubba

CEO Lastpass

Trovate l’articolo completo e in lingua inglese a questo link.

Contattami

Condividi:

Facebook
Telegram
LinkedIn
WhatsApp

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Indice dei contenuti