LastPass, aggiornamenti per l'hack di agosto: sottratti anche dati degli utenti

LastPass, aggiornamenti per l'hack di agosto: sottratti anche dati degli utenti

Ulteriori indagini seguite all'incidente di sicurezza avvenuto ad agosto hanno portato alla conclusione che gli hacker hanno sottratto anche un archivio di dati crittografati degli utenti

di pubblicata il , alle 11:31 nel canale Sicurezza
 

LastPass ha pubblicato nel corso della giornata di ieri un aggiornamento che meglio delinea le conseguenze di un incidente di sicurezza avvenuto ad agosto, che a questo punto assume contorni ben più gravi rispetto a quanto originariamente tratteggiato.

Allora, infatti, LastPass affermò che gli aggressori erano riusciti, accedendo ad un account sviluppatore compromesso, a sottrarre parti del codice sorgente e non meglio precisate "informazioni tecniche proprietarie di LastPass". In quel momento la società ritenne che le password principali dei clienti, le password crittografate, le informazioni personali e altri dati archiviati negli account dei clienti non furono interessate dall'attacco.

L'aggiornamento rilasciato nelle scorse ore mette la vicenda sotto un'altra prospettiva. LastPass ha comunicato agli utenti che l'accesso non autorizzato di agosto ha permesso agli hacker di venire a contatto con informazioni personali e ai relativi metadati, inclusi nomi di società, nomi degli utenti finali, indirizzi di fatturazione, indirizzi e-mail, numeri di telefono e indirizzi IP utilizzati dai clienti per accedere ai servizi LastPass. Non solo: gli hacker hanno anche potuto recuperare un backup dei dati degli utenti, comprensivi di dati non crittografati come URL di siti Web e campi di dati crittografati come nomi utente e password di siti Web, note sicure e dati compilati da moduli.

Karim Toubba, CEO di LastPass, ha spiegato: "Questi campi crittografati rimangono protetti con la crittografia AES a 256 bit e possono essere decrittografati solo con una chiave di crittografia univoca derivata dalla master password di ciascun utente utilizzando la nostra architettura Zero Knowledge. Ricordiamo che la master password non è mai nota a LastPass e non è salvata o mantenuta da LastPass. La cifratura e decifratura delle informazioni è compiuta solamente sul client locale LastPass". Per chi volesse approfondire la conoscenza e il funzionamento della tecnologia Zero Knowledge, si rimanda al sito di LastPass.

Tra le precisazioni che LastPass ha fornito con l'aggiornamento, si sottolinea che le indagini non hanno fino ad ora dato motivo di credere che sia stato effettuato un accesso ai dati non crittografati delle carte di credito degli utenti. In ogni caso LastPass non memorizza i dati della carta di credito nella sua interezza, e quei dati che sono salvati vengono conservati in un ambiente cloud diverso da quello a cui è stato effettuato l'accesso non autorizzato.

Quanto accaduto ad agosto, infatti, parrebbe essere legata ad un altro incidente di sicurezza ai danni di Twilio, fornitore di servizi di autenticazione con sede a San Francisco. In quell'occasione furono sottratti dati appartenenti a 163 clienti della società, e la stessa mano dietro alla compromissione di Twilio ha poi colpito altre società tra cui LastPass.

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
An.tani23 Dicembre 2022, 12:56 #1
Non ho mai capito perché la gente paga per affidare le proprie password al altri quando esistono OTTIMI programmi open source multi piattaforma come Keepas
Opteranium23 Dicembre 2022, 13:15 #2
sono d'accordo, molto meglio un file in locale e l'hash di recupero master password in backup
Sandro kensan23 Dicembre 2022, 15:35 #3
Mi vengono in mente due cosette. La prima è una risposta a diversi commenti che ho letto tempo fa. Quando hai in mano il file con le password crittografate o comunque un qualsiasi file crittografato con dati importanti allora sei con le spalle al muro e i nodi vengono al pettine tutti insieme.

Con quel file puoi fare infiniti tentativi di crack, di brute force e di attesa che qualcuno scopra qualche vulnerabilità da qualsiasi parte. Alcuni commentatori dicevano: "tanto puoi fare fino a 3 tentativi e poi ti devi riloggare", "quindi è un sistema sicuro". Ecco, la risposta è questa, con i Cracker che hanno il file in mano e succede sempre prima o poi, sia con lastpass che con Google che con Apple. Prima o poi succede.

I cracker adesso possono andare alla ricerca di bachi nel protocollo crittografico usato che non è solo AES ma anche la generazione della password crittografica. Se questo sistema non è open source la vedo dura e prima o poi trovano una vulnerabilità indipendente da AES che è ultratestato.

Anche perché quei file rimarranno in Rete per sempre e quindi finiranno in tantissime mani soprattutto di esperti.

La seconda cosa che mi viene in mente è che questo sistema è sicuro se è un sistema open source e se si mettono nel cloud password non troppo importanti. Quindi riassumendo:

* software open source con uso di algoritmi standard e di provata efficacia
* crittazione in locale e salvataggio nel cloud
* inserire password di media importanza
* le password importanti vanno mantenute a memorie e/o memorizzate in locale con file crittato

Per ultimo evitare i sistemi semplici, il cloud deve essere un semplice archivio di un file crittografato mantenuto il più al sicuro possibile. In definitiva non ho approfondito come funziona lastpass ma credo che per semplificare la vita agli utenti e per guadagnarci abbia sacrificato la sicurezza.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^