LastPass: account sviluppatore compromesso e codice sorgente rubato

LastPass: account sviluppatore compromesso e codice sorgente rubato

La società comunica una violazione ma afferma che i dati dei clienti non sono stati compromessi

di pubblicata il , alle 09:51 nel canale Sicurezza
 

Il team di LastPass, il popolare applicativo per la gestione delle password, ha emesso oggi un avviso di sicurezza comunicando una violazione di un account sviluppatore che è stato compromesso da hacker che sono così potuti accedere all'ambiente di sviluppo dell'azienda. LastPass è utilizzato da oltre 33 milioni di persone e 100 mila aziende.

La società afferma che attualmente non vi sono prove che i dati dei clienti o i portachiavi di password cifrati siano stati compromesse, ma gli aggressori sono riusciti a sottrarre parti del codice sorgente e non meglio precisate "informazioni tecniche proprietarie di LastPass".

Nel comunicato si legge che sono state implementate "misure di contenimento e mitigazione", oltre al coinvolgimento di  "un'importante azienda di sicurezza informatica e forense". LastPass afferma che l'indagine è ancora in corso, ma che è stato raggiunto "uno stato di contenimento" grazie all'implementazione di ulteriori misure di sicurezza rafforzate e che al momento non vi sono prove di attività non autorizzate.

Non vengono però fornite altre informazioni sull'attacco e su come gli aggressori abbiano potuto compromettere l'account dello sviluppatore, così come nessun dettaglio è stato rilasciato circa il codice sorgente sottratto. A quanto pare l'attacco è avvenuto diversi giorni fa, con la società che prima di rendere noto l'accaduto ha provveduto a mettere in atto tutte le contromisure necessarie.

Sebbene LastPass affermi che l'attacco non ha compromesso le informazioni e le password di nessun cliente, il consiglio resta anzitutto quello di attivare l'autenticazione a due fattori così da meglio proteggere gli account gestiti con il servizio e in secondo luogo mantenere alta l'attenzione per monitorare eventuali attività sospette o accessi non autorizzati agli account.

32 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Gringo [ITF]26 Agosto 2022, 10:22 #1
- Quindi cambierà nome da .... LASTPASS .... a LOSTPASS.

Chissà quanti account sarà possibile compromettere ora, dipenderà se l'algoritmo di crittazione su server e "Reversibile" essendo in possesso del sorgente, tipo una master password ecc..
demon7726 Agosto 2022, 10:24 #2
Ed ecco concretizzarsi il mio principale spauracchio legato proprio a servizi di questo tipo:
metto dentro tutte le password e tutti gli account.. e poi sfondano il servizio e si fottono tutto in blocco..

Io ho preferito risolvere alla vecchia maniera e tutto "IN CASA":
Supremo file di testo con tutte le credenziali opportunamente criptato con programmino stand alone in locale.. (una vecchia versione senza fronzoli di AXCRYPT)

Almeno se vogliono fottersi le mie password devono veire a pigliare proprio ME.
Praetorian26 Agosto 2022, 10:37 #3
Originariamente inviato da: demon77
Ed ecco concretizzarsi il mio principale spauracchio legato proprio a servizi di questo tipo:
metto dentro tutte le password e tutti gli account.. e poi sfondano il servizio e si fottono tutto in blocco.. (...)


Concordo alla grande, mai utilizzato questi servizi proprio per questo.
A volte è meglio fare le cose alla vecchia maniera :P
v10_star26 Agosto 2022, 11:11 #4
Lastche?

Buona memoria e due chiavettone USB con bitlocker con bel txt all'interno
Cr4z3326 Agosto 2022, 11:32 #5
Finora mi sono sempre affidato a LastPass, ma adesso comincio a 💩 sotto (considerando tutti i dati sensibili che ho dentro).
Esiste qualche soluzione multipiattaforma con criptaggio a prova di 💣?
Uso Linux, Windows 1x, macOS e Android.
WELive26 Agosto 2022, 11:44 #6
Originariamente inviato da: demon77
Ed ecco concretizzarsi il mio principale spauracchio legato proprio a servizi di questo tipo:
metto dentro tutte le password e tutti gli account.. e poi sfondano il servizio e si fottono tutto in blocco..

Io ho preferito risolvere alla vecchia maniera e tutto "IN CASA":
Supremo file di testo con tutte le credenziali opportunamente criptato con programmino stand alone in locale.. (una vecchia versione senza fronzoli di AXCRYPT)

Almeno se vogliono fottersi le mie password devono veire a pigliare proprio ME.


https://www.hwupgrade.it/forum/showthread.php?t=2434730
demon7726 Agosto 2022, 11:50 #7


Si si lo conosco. Mai usato ma lo conosco.
Alla fine di tool di criptaggio per singoli files ce ne sono parecchie.. ai tempi approdai su AXcrypt e trovandomi bene poi sono rimasto lì.
demon7726 Agosto 2022, 11:57 #8
Originariamente inviato da: Cr4z33
Finora mi sono sempre affidato a LastPass, ma adesso comincio a �� sotto (considerando tutti i dati sensibili che ho dentro).
Esiste qualche soluzione multipiattaforma con criptaggio a prova di ��?
Uso Linux, Windows 1x, macOS e Android.


Dipende dalle tue esigenze, ci sono ottime soluzioni free validissime per tutti i gusti.

Se come me hai necessità di criptare uno o più files SINGOLI in modo efficace il tool perfetto è AXcrypt o come indicato sopra anche Easycrypt.. ce ne sono molti comunque.

Se invece hai esigenze maggiori e vuoi una vra e propria unità disco FISICA o VIRTUALE da montare e smontare a piacimento (e' di fatto un file monoblocco) completamente criptata ti cosiglio veracrypt.

Per win, linux e macos non dovrebbero esserci problemi.. android non so.
jepessen26 Agosto 2022, 12:02 #9
Originariamente inviato da: demon77
Ed ecco concretizzarsi il mio principale spauracchio legato proprio a servizi di questo tipo:
metto dentro tutte le password e tutti gli account.. e poi sfondano il servizio e si fottono tutto in blocco..

Io ho preferito risolvere alla vecchia maniera e tutto "IN CASA":
Supremo file di testo con tutte le credenziali opportunamente criptato con programmino stand alone in locale.. (una vecchia versione senza fronzoli di AXCRYPT)

Almeno se vogliono fottersi le mie password devono veire a pigliare proprio ME.


Non penso proprio che cio' avverra'. Avere accesso al codice sorgente non puo' compromettere, in linea teorica, i dati salvati. Questo perche' verrebbe meno uno dei principi con la quale vengono costruiti praticamente tutti gli algoritmi crittografici. La sicurezza non deve essere assicurata dalla segretezza dell'algoritmo, che anzi deve essere pubblico per poter essere testato e verificato, ma dalla segretezza della chiave. Spulciare gli algoritmi quindi non serve a niente se non si hanno le chiavi di cifratura. Ed e' per questo che occorre sempre mettere le password al sicuro, mentre gli algoritmo no (pensiamo a ssl che e' opensource).
insane7426 Agosto 2022, 12:11 #10
Originariamente inviato da: Cr4z33
Finora mi sono sempre affidato a LastPass, ma adesso comincio a 💩 sotto (considerando tutti i dati sensibili che ho dentro).
Esiste qualche soluzione multipiattaforma con criptaggio a prova di 💣?
Uso Linux, Windows 1x, macOS e Android.


Anch'io anni fa usavo LastPass, ma a seguito dell'ennesimo data breach (il servizio è stato bucato più volte) decisi di passare ad altro.
da un paio d'anni uso con soddisfazione 1Password.

pare (la certezza non esiste) sia uno dei migliori. viene sottoposto periodicamente ad auditing esterni per verificarne la sicurezza ecc ecc.
io mi ci trovo bene, le app sono fatte bene, e anche l'integrazione coi browser funziona bene (uso le app su iPhone/iPad e Mac e l'integrazione col browser sul PC aziendale che ha Windows 10).

costicchia però.
sicuramente ci sono alternative altrettanto valide e meno costose.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^