L'anno scorso è stato particolarmente negativo per il gestore di password LastPass, poiché una serie di incidenti di hacking ha rivelato alcune gravi debolezze nella sua sicurezza apparentemente solida. Ora sappiamo esattamente come sono avvenuti quegli attacchi e i fatti sono piuttosto mozzafiato.
Tutto è iniziato nell'agosto 2022, quando LastPass ha rivelato che un attore di minacce aveva ha rubato il codice sorgente dell'app. In un secondo attacco successivo, l'hacker ha combinato questi dati con le informazioni trovate in una violazione dei dati separata, quindi ha sfruttato un punto debole in un'app di accesso remoto utilizzata dai dipendenti di LastPass. Ciò ha permesso loro di installare un keylogger sul computer di un ingegnere senior dell'azienda.
Una volta installato quel keylogger, gli hacker potevano raccogliere la password principale di LastPass dell'ingegnere così come è stato inserito, garantendo loro l'accesso al caveau del dipendente e a tutti i segreti contenuti entro.
Imparentato
- Gli hacker potrebbero aver rubato la chiave master a un altro gestore di password
- NordPass aggiunge il supporto passkey per bandire le tue password deboli
- Gli hacker hanno scavato in profondità nella massiccia violazione della sicurezza di LastPass
Hanno usato quell'accesso per esportare il contenuto del caveau. Annidate tra i dati c'erano le chiavi di decrittazione necessarie per decrittografare i backup dei clienti archiviati nel sistema di archiviazione cloud di LastPass.
Video consigliati
Questo è importante perché LastPass ha mantenuto i backup di produzione e i backup dei database critici nel cloud. È stata rubata anche una grande quantità di dati sensibili dei clienti, anche se sembra che gli hacker non siano stati in grado di decrittografarli. Dettagli della pagina di supporto di LastPass esattamente quello che è stato rubato.
Trasparenza discutibile
Fortunatamente per gli utenti LastPass, sembra che i dati più sensibili dei clienti, come (la maggior parte) indirizzi e-mail e password, siano stati crittografati utilizzando un metodo a conoscenza zero. Ciò significa che sono stati crittografati con una chiave derivata dalla password principale di ciascun utente e sconosciuta a LastPass. Quando gli hacker hanno rubato i dati di LastPass, non sono stati in grado di ottenere queste chiavi di decrittazione perché non erano memorizzate da nessuna parte da LastPass.
Detto questo, molti dati importanti sono stati acquisiti dagli autori delle minacce. Ciò includeva i backup del database di autenticazione a più fattori di LastPass, segreti API, metadati dei clienti, dati di configurazione e altro ancora. Inoltre, sembrano numerosi prodotti oltre a LastPass sono stati anche violati.
Su un pagina di supporto, LastPass ha affermato che il modo in cui è stato eseguito il secondo attacco, utilizzando i dettagli di accesso dei dipendenti autentici, ne ha reso difficile il rilevamento. Alla fine, l'azienda si è resa conto che qualcosa non andava quando il suo sistema AWS GuardDuty Alerts lo ha avvertito qualcuno stava cercando di utilizzare i suoi ruoli Cloud Identity and Access Management per eseguire operazioni non autorizzate attività.
LastPass è stato oggetto di numerose critiche sulla gestione degli attacchi negli ultimi mesi ed è improbabile che la disapprovazione si plachi alla luce delle ultime rivelazioni. In effetti, una società di sicurezza è arrivata al punto di affermare che LastPass non era un'app affidabile e che gli utenti lo facevano passare a diversi gestori di password.
In questo momento, LastPass sta apparentemente cercando di nascondere le sue pagine di supporto agli attacchi dai motori di ricerca aggiungendo "” codice alle pagine. Ciò renderà solo più difficile per gli utenti (e il resto del mondo) scoprire cosa è successo e difficilmente sembra essere fatto nello spirito di trasparenza e responsabilità. Nulla è stato pubblicato neanche sul blog aziendale.
Se sei un cliente LastPass, potrebbe essere meglio trovare un'app alternativa. Fortunatamente, ce ne sono molti altri superbi gestori di password là fuori che può proteggere in modo affidabile le tue informazioni importanti.
Raccomandazioni della redazione
- Queste password imbarazzanti hanno fatto hackerare le celebrità
- No, 1Password non è stato violato: ecco cosa è successo davvero
- Questo enorme exploit del gestore di password potrebbe non essere mai risolto
- I migliori gestori di password per il 2023
- Usi LastPass? Devi cambiare urgentemente, dice la società di sicurezza
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, recensioni divertenti sui prodotti, editoriali penetranti e anticipazioni uniche.
