Bucato di nuovo LastPass: compromessi alcuni dati degli utenti, ma password al sicuro

Bucato di nuovo LastPass: compromessi alcuni dati degli utenti, ma password al sicuro

La nuova intrusione nei sistemi LastPass è collegata a quella dello scorso mese di agosto, ma comunque le password degli utenti sono sempre rimaste al sicuro

di pubblicata il , alle 09:56 nel canale Sicurezza
 

Attraverso un post nella newsletter ufficiale il CEO di LastPass, Karim Toubba, ha affermato che il servizio ha subito un nuovo attacco su cui un team dedicato sta indagando. Gli aggressori hanno utilizzato i dati estorti in un precedente incidente di sicurezza avvenuto ad agosto 2022 e, una volta avuto accesso sul sistema di cloud storage utilizzato dall'azienda, sono riusciti ad accedere ad alcuni dati degli utenti non meglio precisati.

LastPass, registrate ancora una volta attività insolite sul servizio

"Abbiamo recentemente rilevato attività sospette all'interno di un servizio di cloud storage di terze parti attualmente condiviso sia da LastPass sia dalla sua affiliata GoTo", si legge nel messaggio diffuso. "Abbiamo scoperto che un utente non autorizzato, utilizzando le informazioni ottenute nell'incidente dell'agosto 2022, è stato in grado di ottenere l'accesso a determinati elementi delle informazioni dei nostri clienti".

LastPass, registrate ancora una volta attività insolite sul servizio

A indagare sul nuovo incidente di sicurezza è stata delegata Mandiant, ma LastPass sottolinea che le password degli utenti non sono in alcun modo state compromesse, e rimangono "crittografate in modo sicuro grazie all'architettura Zero Knowledge" usata sul servizio. LastPass ha comunque ammesso di non essere attualmente al corrente sulla portata dell'incidente e sta indagando su quali informazioni sono state trafugate durante l'attacco.

LastPass è un servizio per la creazione, la gestione e il salvataggio delle password utilizzate sui vari servizi online (e non) e può vantare oltre 30 milioni di utenti in tutto il mondo, insieme a 100 mila aziende che lo usano. È chiaro che su un servizio del genere l'aspetto della sicurezza passa in primo piano su tutto, tuttavia questo è il secondo incidente di sicurezza del 2022, anche se i due casi sono esplicitamente collegati. Ad agosto i servizi della società erano stati attaccati attraverso un account sviluppatore compromesso, con gli aggressori che attraverso i sistemi violati erano venuti in possesso di informazioni tecniche riservate e di codice sorgente appartenenti all'azienda. La buona notizia è che le password degli utenti sono rimaste tutto il tempo al sicuro.

23 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
alexfri01 Dicembre 2022, 10:11 #1
Le password vanno scritte su un taccuino di carta e messo in un cassetto, attualmente é il modo piu sicuro, come lo era negli anni 80 scriverle su un floppy ovvero dove nessuno le cercherebbe nei rispettivi momenti storici. La complessità informatica attuale é ben superiore ai fenomeni che si credono invulnerabili a chiunque, nessuno da solo (in informatica) puo difendersi da gruppi letteralmente di Geni che lavorano in tutto il mondo per rubare credenziali ecc, nessuno. E non tirate fuori la storia: "allora andiamo a cavallo".
VanCleef01 Dicembre 2022, 10:28 #2
Io continuo a credere che la soluzione migliore sia ricordarsi solo un metodo di generazione password, ad esempio

Google -> 6x3+GOOG-ogle
Facebook ->8x4+FACE-book
Tiktok -> 6x2+TIKT-ktok
Withu -> 5x2+WITH-ithu
Wikipedia -> 9x5+WIKI-edia

Con questo sistema il problema rimangono
- i servizi con la scadenza della password e cronologia in cui serve ricordarsi il numero raggiunto...
- i servizi che non accettano tutti i caratteri del metodo scelto (ad esempio il "+"
Problemi aggirabili con appunti (tipo anzichè Google, usato gmail, usato _ anzichè +) cartacei o elettronici.
marcram01 Dicembre 2022, 10:30 #3
Originariamente inviato da: alexfri
Le password vanno scritte su un taccuino di carta e messo in un cassetto, attualmente é il modo piu sicuro, come lo era negli anni 80 scriverle su un floppy ovvero dove nessuno le cercherebbe nei rispettivi momenti storici. La complessità informatica attuale é ben superiore ai fenomeni che si credono invulnerabili a chiunque, nessuno da solo (in informatica) puo difendersi da gruppi letteralmente di Geni che lavorano in tutto il mondo per rubare credenziali ecc, nessuno. E non tirate fuori la storia: "allora andiamo a cavallo".

Eh, e "allora andiamo a cavallo"...

A parte gli scherzi, anche il foglio di carta ha le sue vulnerabilità: è lì nel cassetto, chiunque può leggerlo, se sei fuori casa non puoi accedere agli account...
Ci sono strumenti moderni per conservare le password, il vecchio foglietto di carta è... vecchio.
Se poi si vuole usare servizi dubbi e proprietari, magari anche già bucati, è logico che è meglio il foglietto di carta...
Goofy Goober01 Dicembre 2022, 10:45 #4
Originariamente inviato da: marcram
Eh, e "allora andiamo a cavallo"...

A parte gli scherzi, anche il foglio di carta ha le sue vulnerabilità: è lì nel cassetto, chiunque può leggerlo, se sei fuori casa non puoi accedere agli account...
Ci sono strumenti moderni per conservare le password, il vecchio foglietto di carta è... vecchio.
Se poi si vuole usare servizi dubbi e proprietari, magari anche già bucati, è logico che è meglio il foglietto di carta...


beh parlava di metodo sicuro, non comodo.

a meno che non mettiamo in conto che l'effrazione domestica ai fini di rubarti le password nel cassetto sia più probabile di un furto di credenziali su pc (o cloud, che tanto sempre su pc sono).

onestamente credo che fidarsi dei sistemi online di archiviazione sia come dire che sai già sicuro di morire, il problema è solo quando. stesso discorso per la possibilità che il servizio cloud sia bucato o meno.
Vash8801 Dicembre 2022, 10:49 #5
Originariamente inviato da: alexfri
Le password vanno scritte su un taccuino di carta e messo in un cassetto, attualmente é il modo piu sicuro, come lo era negli anni 80 scriverle su un floppy ovvero dove nessuno le cercherebbe nei rispettivi momenti storici. La complessità informatica attuale é ben superiore ai fenomeni che si credono invulnerabili a chiunque, nessuno da solo (in informatica) puo difendersi da gruppi letteralmente di Geni che lavorano in tutto il mondo per rubare credenziali ecc, nessuno. E non tirate fuori la storia: "allora andiamo a cavallo".


Su lastpass ho 200 password uniche, che vengono riempite automaticamente a prescindere dal dispositivo utilizzato. Il problema è se bucano un sito e poi provano a utilizzare le stesse credenziali su un altro sito. Se non si ha una password unica o 2FA ovunque sei esposto.
Phoenix Fire01 Dicembre 2022, 10:56 #6
Originariamente inviato da: Svelgen
Io resto dell'idea che il portachiavi di Apple, resta il luogo più sicuro dove conservare le password. Serve solo ricordarsi una buona password di iCloud e basta.
E lo dimostra il fatto che, se porti qualsiasi dispositivo Apple in assistenza, ti viene chiesto in modo inequivocabile di cancellare tutto, compreso il blocco iCloud.
Neppure loro, su un telefono bloccato, riescono a metterci le mani.
Ovvio che poi, dietro ci devono essere dei server remoti che ti garantiscono la sicurezza. LastPass è gratuito. iCloud invece lo paghi. Quella è la differenza.

hai scritto tante di quelle fanboiate che la metà bastava. Come se poi "the fappening" non avesse già provato il contrario di quanto dici (e non è una critica verso Apple, semplicemente nessuno è invincibile)

PS icloud non si paga a prescindere, ti danno 5gb gratis ad account che le password bastano e avanzano, il problema è che non si sincronizza con nulla di non Apple, cosa fai su pc windows o telefono android?
ninja75001 Dicembre 2022, 11:07 #7
Originariamente inviato da: VanCleef
Io continuo a credere che la soluzione migliore sia ricordarsi solo un metodo di generazione password, ad esempio


così scoperta una te le bucano tutte
marcram01 Dicembre 2022, 11:13 #8
Originariamente inviato da: Svelgen
Io resto dell'idea che il portachiavi di Apple, resta il luogo più sicuro dove conservare le password. Serve solo ricordarsi una buona password di iCloud e basta.
E lo dimostra il fatto che, se porti qualsiasi dispositivo Apple in assistenza, ti viene chiesto in modo inequivocabile di cancellare tutto, compreso il blocco iCloud.
Neppure loro, su un telefono bloccato, riescono a metterci le mani.
Ovvio che poi, dietro ci devono essere dei server remoti che ti garantiscono la sicurezza. LastPass è gratuito. iCloud invece lo paghi. Quella è la differenza.

Eh, insomma...
https://www.dday.it/redazione/44340...di-altri-utenti
Originariamente inviato da: Goofy Goober
beh parlava di metodo sicuro, non comodo.

a meno che non mettiamo in conto che l'effrazione domestica ai fini di rubarti le password nel cassetto sia più probabile di un furto di credenziali su pc (o cloud, che tanto sempre su pc sono).

onestamente credo che fidarsi dei sistemi online di archiviazione sia come dire che sai già sicuro di morire, il problema è solo quando. stesso discorso per la possibilità che il servizio cloud sia bucato o meno.

Effrazione, conviventi, foglio che perdi perché te lo porti dietro...
Se hai un database crittografato con una buona password, non hai nessuno di questi problemi.
Non devi fidarti dei sistemi di archiviazione online, basta che ti fidi del client offline...
Goofy Goober01 Dicembre 2022, 11:21 #9
Originariamente inviato da: marcram
Effrazione, conviventi, foglio che perdi perché te lo porti dietro...
Se hai un database crittografato con una buona password, non hai nessuno di questi problemi.
Non devi fidarti dei sistemi di archiviazione online, basta che ti fidi del client offline...


Vivi da solo e lasci sempre nel cassetto... Ripeto era un esempio di sicurezza non comodità.
L'effrazione non ho idea se sia più o meno probabile del bucare un account o un computer SE lo scopo è rubare le credenziali, e non entrarti in casa per altri motivi (rubarti dei beni fisici). Onestamente avrei detto che è l'ultimo canale che il malintezionato userebbe per rubarti i dati (un po' come chi vuole clonarti le carte e avere PIN etc agisce dove le usi, e non viene a prendertele in casa).

Era solo per chiacchiera il confronto comunque, io sono il primo a non aver scritto le password da nessuna parte.

I client affidabili offline che consiglieresti quali sono?
VanCleef01 Dicembre 2022, 11:53 #10
Originariamente inviato da: ninja750
così scoperta una te le bucano tutte

Dipende da come crei l'algoritmo.
Con una password disponibile non è così automatico ricostruirlo.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^