LastPass: account sviluppatore compromesso e codice sorgente rubato
La società comunica una violazione ma afferma che i dati dei clienti non sono stati compromessi
di Andrea Bai pubblicata il 26 Agosto 2022, alle 09:51 nel canale SicurezzaIl team di LastPass, il popolare applicativo per la gestione delle password, ha emesso oggi un avviso di sicurezza comunicando una violazione di un account sviluppatore che è stato compromesso da hacker che sono così potuti accedere all'ambiente di sviluppo dell'azienda. LastPass è utilizzato da oltre 33 milioni di persone e 100 mila aziende.
La società afferma che attualmente non vi sono prove che i dati dei clienti o i portachiavi di password cifrati siano stati compromesse, ma gli aggressori sono riusciti a sottrarre parti del codice sorgente e non meglio precisate "informazioni tecniche proprietarie di LastPass".
Nel comunicato si legge che sono state implementate "misure di contenimento e mitigazione", oltre al coinvolgimento di "un'importante azienda di sicurezza informatica e forense". LastPass afferma che l'indagine è ancora in corso, ma che è stato raggiunto "uno stato di contenimento" grazie all'implementazione di ulteriori misure di sicurezza rafforzate e che al momento non vi sono prove di attività non autorizzate.
Non vengono però fornite altre informazioni sull'attacco e su come gli aggressori abbiano potuto compromettere l'account dello sviluppatore, così come nessun dettaglio è stato rilasciato circa il codice sorgente sottratto. A quanto pare l'attacco è avvenuto diversi giorni fa, con la società che prima di rendere noto l'accaduto ha provveduto a mettere in atto tutte le contromisure necessarie.
Sebbene LastPass affermi che l'attacco non ha compromesso le informazioni e le password di nessun cliente, il consiglio resta anzitutto quello di attivare l'autenticazione a due fattori così da meglio proteggere gli account gestiti con il servizio e in secondo luogo mantenere alta l'attenzione per monitorare eventuali attività sospette o accessi non autorizzati agli account.
32 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoChissà quanti account sarà possibile compromettere ora, dipenderà se l'algoritmo di crittazione su server e "Reversibile" essendo in possesso del sorgente, tipo una master password ecc..
metto dentro tutte le password e tutti gli account.. e poi sfondano il servizio e si fottono tutto in blocco..
Io ho preferito risolvere alla vecchia maniera e tutto "IN CASA":
Supremo file di testo con tutte le credenziali opportunamente criptato con programmino stand alone in locale.. (una vecchia versione senza fronzoli di AXCRYPT)
Almeno se vogliono fottersi le mie password devono veire a pigliare proprio ME.
metto dentro tutte le password e tutti gli account.. e poi sfondano il servizio e si fottono tutto in blocco.. (...)
Concordo alla grande, mai utilizzato questi servizi proprio per questo.
A volte è meglio fare le cose alla vecchia maniera :P
Buona memoria e due chiavettone USB con bitlocker con bel txt all'interno
Esiste qualche soluzione multipiattaforma con criptaggio a prova di 💣?
Uso Linux, Windows 1x, macOS e Android.
metto dentro tutte le password e tutti gli account.. e poi sfondano il servizio e si fottono tutto in blocco..
Io ho preferito risolvere alla vecchia maniera e tutto "IN CASA":
Supremo file di testo con tutte le credenziali opportunamente criptato con programmino stand alone in locale.. (una vecchia versione senza fronzoli di AXCRYPT)
Almeno se vogliono fottersi le mie password devono veire a pigliare proprio ME.
https://www.hwupgrade.it/forum/showthread.php?t=2434730
Si si lo conosco. Mai usato ma lo conosco.
Alla fine di tool di criptaggio per singoli files ce ne sono parecchie.. ai tempi approdai su AXcrypt e trovandomi bene poi sono rimasto lì.
Esiste qualche soluzione multipiattaforma con criptaggio a prova di ��?
Uso Linux, Windows 1x, macOS e Android.
Dipende dalle tue esigenze, ci sono ottime soluzioni free validissime per tutti i gusti.
Se come me hai necessità di criptare uno o più files SINGOLI in modo efficace il tool perfetto è AXcrypt o come indicato sopra anche Easycrypt.. ce ne sono molti comunque.
Se invece hai esigenze maggiori e vuoi una vra e propria unità disco FISICA o VIRTUALE da montare e smontare a piacimento (e' di fatto un file monoblocco) completamente criptata ti cosiglio veracrypt.
Per win, linux e macos non dovrebbero esserci problemi.. android non so.
metto dentro tutte le password e tutti gli account.. e poi sfondano il servizio e si fottono tutto in blocco..
Io ho preferito risolvere alla vecchia maniera e tutto "IN CASA":
Supremo file di testo con tutte le credenziali opportunamente criptato con programmino stand alone in locale.. (una vecchia versione senza fronzoli di AXCRYPT)
Almeno se vogliono fottersi le mie password devono veire a pigliare proprio ME.
Non penso proprio che cio' avverra'. Avere accesso al codice sorgente non puo' compromettere, in linea teorica, i dati salvati. Questo perche' verrebbe meno uno dei principi con la quale vengono costruiti praticamente tutti gli algoritmi crittografici. La sicurezza non deve essere assicurata dalla segretezza dell'algoritmo, che anzi deve essere pubblico per poter essere testato e verificato, ma dalla segretezza della chiave. Spulciare gli algoritmi quindi non serve a niente se non si hanno le chiavi di cifratura. Ed e' per questo che occorre sempre mettere le password al sicuro, mentre gli algoritmo no (pensiamo a ssl che e' opensource).
Esiste qualche soluzione multipiattaforma con criptaggio a prova di 💣?
Uso Linux, Windows 1x, macOS e Android.
Anch'io anni fa usavo LastPass, ma a seguito dell'ennesimo data breach (il servizio è stato bucato più volte) decisi di passare ad altro.
da un paio d'anni uso con soddisfazione 1Password.
pare (la certezza non esiste) sia uno dei migliori. viene sottoposto periodicamente ad auditing esterni per verificarne la sicurezza ecc ecc.
io mi ci trovo bene, le app sono fatte bene, e anche l'integrazione coi browser funziona bene (uso le app su iPhone/iPad e Mac e l'integrazione col browser sul PC aziendale che ha Windows 10).
costicchia però.
sicuramente ci sono alternative altrettanto valide e meno costose.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".