Bucato di nuovo LastPass: compromessi alcuni dati degli utenti, ma password al sicuro
La nuova intrusione nei sistemi LastPass è collegata a quella dello scorso mese di agosto, ma comunque le password degli utenti sono sempre rimaste al sicuro
di Nino Grasso pubblicata il 01 Dicembre 2022, alle 09:56 nel canale SicurezzaAttraverso un post nella newsletter ufficiale il CEO di LastPass, Karim Toubba, ha affermato che il servizio ha subito un nuovo attacco su cui un team dedicato sta indagando. Gli aggressori hanno utilizzato i dati estorti in un precedente incidente di sicurezza avvenuto ad agosto 2022 e, una volta avuto accesso sul sistema di cloud storage utilizzato dall'azienda, sono riusciti ad accedere ad alcuni dati degli utenti non meglio precisati.
"Abbiamo recentemente rilevato attività sospette all'interno di un servizio di cloud storage di terze parti attualmente condiviso sia da LastPass sia dalla sua affiliata GoTo", si legge nel messaggio diffuso. "Abbiamo scoperto che un utente non autorizzato, utilizzando le informazioni ottenute nell'incidente dell'agosto 2022, è stato in grado di ottenere l'accesso a determinati elementi delle informazioni dei nostri clienti".
LastPass, registrate ancora una volta attività insolite sul servizio
A indagare sul nuovo incidente di sicurezza è stata delegata Mandiant, ma LastPass sottolinea che le password degli utenti non sono in alcun modo state compromesse, e rimangono "crittografate in modo sicuro grazie all'architettura Zero Knowledge" usata sul servizio. LastPass ha comunque ammesso di non essere attualmente al corrente sulla portata dell'incidente e sta indagando su quali informazioni sono state trafugate durante l'attacco.
LastPass è un servizio per la creazione, la gestione e il salvataggio delle password utilizzate sui vari servizi online (e non) e può vantare oltre 30 milioni di utenti in tutto il mondo, insieme a 100 mila aziende che lo usano. È chiaro che su un servizio del genere l'aspetto della sicurezza passa in primo piano su tutto, tuttavia questo è il secondo incidente di sicurezza del 2022, anche se i due casi sono esplicitamente collegati. Ad agosto i servizi della società erano stati attaccati attraverso un account sviluppatore compromesso, con gli aggressori che attraverso i sistemi violati erano venuti in possesso di informazioni tecniche riservate e di codice sorgente appartenenti all'azienda. La buona notizia è che le password degli utenti sono rimaste tutto il tempo al sicuro.
FRITZ!Repeater 1700 estende la rete super-veloce Wi-Fi 7
Fondazione Chips-IT, l'Italia alla riscossa nei chip. Il piano e la partnership EssilorLuxottica
Nutanix: innovazione, semplicità e IA al centro della strategia hybrid multicloud
SpaceX redarguisce la Cina per un rischio di collisione tra satelliti lanciati da un razzo spaziale cinese e Starlink
Il 2026 sarà l'anno degli smartphone pieghevoli: è merito di Apple e Samsung Display ringrazia
Ayaneo svela Pocket Play: è uno smartphone con controlli fisici e un design che ricorda Xperia Play
Apple sotto indagine in Svizzera: è tutta colpa del chip NFC
Anthropic, Kaplan avverte: entro il 2030 una scelta cruciale sul futuro dell'AI
La versione Global dello Xiaomi Pad 8 Pro è pronta: tanta potenza per conquistare il mercato
Aumento di prezzo in arrivo per la Nintendo Switch 2: è tutta colpa delle memorie
Samsung Galaxy S26 Ultra, nuove conferme sulla scheda tecnica: la ricarica sarà più veloce
Robot aspirapolvere ancora ai prezzi del Black Friday: 7 modelli top, inclusi ECOVACS DEEBOT T80 OMNI e DREAME L40 Ultra AE
Un sacco di dispositivi Ring scontati su Amazon, da 34€ in su: videocitofoni, allarmi e telecamere smart, sicurezza a basso costo
Hisense HS3100 a meno di 100€ su Amazon: soundbar 3.1 con subwoofer wireless da 480W
Tomb Raider Catalyst è il sequel che nessuno si sarebbe mai aspettato dopo quasi 20 anni
Logitech G Yeti GX in offerta su Amazon: microfono RGB per streaming e gaming a 83,69€
Le Sony INZONE H5 scendono a 99€ su Amazon: sono le cuffie wireless gaming con audio 360° e microfono AI
23 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoGoogle -> 6x3+GOOG-ogle
Facebook ->8x4+FACE-book
Tiktok -> 6x2+TIKT-ktok
Withu -> 5x2+WITH-ithu
Wikipedia -> 9x5+WIKI-edia
Con questo sistema il problema rimangono
- i servizi con la scadenza della password e cronologia in cui serve ricordarsi il numero raggiunto...
- i servizi che non accettano tutti i caratteri del metodo scelto (ad esempio il "+"
Problemi aggirabili con appunti (tipo anzichè Google, usato gmail, usato _ anzichè +) cartacei o elettronici.
Eh, e "allora andiamo a cavallo"...
A parte gli scherzi, anche il foglio di carta ha le sue vulnerabilità: è lì nel cassetto, chiunque può leggerlo, se sei fuori casa non puoi accedere agli account...
Ci sono strumenti moderni per conservare le password, il vecchio foglietto di carta è... vecchio.
Se poi si vuole usare servizi dubbi e proprietari, magari anche già bucati, è logico che è meglio il foglietto di carta...
A parte gli scherzi, anche il foglio di carta ha le sue vulnerabilità: è lì nel cassetto, chiunque può leggerlo, se sei fuori casa non puoi accedere agli account...
Ci sono strumenti moderni per conservare le password, il vecchio foglietto di carta è... vecchio.
Se poi si vuole usare servizi dubbi e proprietari, magari anche già bucati, è logico che è meglio il foglietto di carta...
beh parlava di metodo sicuro, non comodo.
a meno che non mettiamo in conto che l'effrazione domestica ai fini di rubarti le password nel cassetto sia più probabile di un furto di credenziali su pc (o cloud, che tanto sempre su pc sono).
onestamente credo che fidarsi dei sistemi online di archiviazione sia come dire che sai già sicuro di morire, il problema è solo quando. stesso discorso per la possibilità che il servizio cloud sia bucato o meno.
Su lastpass ho 200 password uniche, che vengono riempite automaticamente a prescindere dal dispositivo utilizzato. Il problema è se bucano un sito e poi provano a utilizzare le stesse credenziali su un altro sito. Se non si ha una password unica o 2FA ovunque sei esposto.
E lo dimostra il fatto che, se porti qualsiasi dispositivo Apple in assistenza, ti viene chiesto in modo inequivocabile di cancellare tutto, compreso il blocco iCloud.
Neppure loro, su un telefono bloccato, riescono a metterci le mani.
Ovvio che poi, dietro ci devono essere dei server remoti che ti garantiscono la sicurezza. LastPass è gratuito. iCloud invece lo paghi. Quella è la differenza.
hai scritto tante di quelle fanboiate che la metà bastava. Come se poi "the fappening" non avesse già provato il contrario di quanto dici (e non è una critica verso Apple, semplicemente nessuno è invincibile)
PS icloud non si paga a prescindere, ti danno 5gb gratis ad account che le password bastano e avanzano, il problema è che non si sincronizza con nulla di non Apple, cosa fai su pc windows o telefono android?
così scoperta una te le bucano tutte
E lo dimostra il fatto che, se porti qualsiasi dispositivo Apple in assistenza, ti viene chiesto in modo inequivocabile di cancellare tutto, compreso il blocco iCloud.
Neppure loro, su un telefono bloccato, riescono a metterci le mani.
Ovvio che poi, dietro ci devono essere dei server remoti che ti garantiscono la sicurezza. LastPass è gratuito. iCloud invece lo paghi. Quella è la differenza.
Eh, insomma...
https://www.dday.it/redazione/44340...di-altri-utenti
a meno che non mettiamo in conto che l'effrazione domestica ai fini di rubarti le password nel cassetto sia più probabile di un furto di credenziali su pc (o cloud, che tanto sempre su pc sono).
onestamente credo che fidarsi dei sistemi online di archiviazione sia come dire che sai già sicuro di morire, il problema è solo quando. stesso discorso per la possibilità che il servizio cloud sia bucato o meno.
Effrazione, conviventi, foglio che perdi perché te lo porti dietro...
Se hai un database crittografato con una buona password, non hai nessuno di questi problemi.
Non devi fidarti dei sistemi di archiviazione online, basta che ti fidi del client offline...
Se hai un database crittografato con una buona password, non hai nessuno di questi problemi.
Non devi fidarti dei sistemi di archiviazione online, basta che ti fidi del client offline...
Vivi da solo e lasci sempre nel cassetto... Ripeto era un esempio di sicurezza non comodità.
L'effrazione non ho idea se sia più o meno probabile del bucare un account o un computer SE lo scopo è rubare le credenziali, e non entrarti in casa per altri motivi (rubarti dei beni fisici). Onestamente avrei detto che è l'ultimo canale che il malintezionato userebbe per rubarti i dati (un po' come chi vuole clonarti le carte e avere PIN etc agisce dove le usi, e non viene a prendertele in casa).
Era solo per chiacchiera il confronto comunque, io sono il primo a non aver scritto le password da nessuna parte.
I client affidabili offline che consiglieresti quali sono?
Dipende da come crei l'algoritmo.
Con una password disponibile non è così automatico ricostruirlo.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".