Violazione di LastPass: è peggio di quanto si pensasse inizialmente
L’incidente di agosto ha compromesso anche i dati di alcuni utenti
LastPass, uno dei servizi di gestione delle password più popolari in circolazione, è stato violato lo scorso agosto. La società sta affermando solo adesso che il danno arrecato da degli hacker sconosciuti è molto peggio di quanto inizialmente fosse valutato. Gli utenti dovrebbero cambiare le loro password al più presto.
Nel rapporto originale sull’incidente di violazione dei dati scoperto ad agosto, LastPass ha affermato che “solo” il codice sorgente dell’azienda e le informazioni proprietarie sono state compromesse. I dati e le password degli utenti sono rimasti al sicuro e incontaminati. Ora, un avviso di sicurezza di follow-up sullo stesso incidente dice il contrario: gli attori malintenzionati sono stati in grado di accedere anche ai dati di alcuni utenti.
Gli hacker black hat hanno ottenuto la chiave di accesso al cloud storage e le chiavi di decrittazione del doppio contenitore di storage, afferma LastPass. Con le chiavi rubate, sono stati in grado di compromettere ulteriormente la sicurezza della piattaforma copiando un backup che conteneva “informazioni di base sull’account del cliente e relativi metadati, inclusi nomi di società, nomi di utenti finali, indirizzi di fatturazione, indirizzi e-mail, numeri di telefono e indirizzi IP da cui i clienti accedevano al servizio LastPass.”
I criminali informatici sono stati anche in grado di copiare un backup dei dati del caveau del cliente dal contenitore di archiviazione crittografato, che è archiviato in un formato binario proprietario. Il contenitore include sia dati non crittografati, come URL di siti Web, sia campi sensibili completamente crittografati come nomi utente e password di siti Web, note sicure e dati compilati da moduli.
Tuttavia, ha affermato LastPass, i campi crittografati “rimangono sicuri” anche quando sono nelle mani dei criminali informatici, poiché sono stati generati con un algoritmo di crittografia basato su AES a 256 bit e “possono essere decifrati solo con una chiave di crittografia univoca derivata da ogni utente password principale utilizzando la nostra architettura Zero Knowledge.” Zero Knowledge significa che LastPass non conosce la password principale necessaria per decrittografare i dati, mentre la decrittografia stessa viene eseguita solo sul client LastPass locale e mai online.
Per quanto riguarda i dati della carta di credito, LastPass li memorizza parzialmente in un diverso ambiente cloud. E non ci sono indicazioni che tali dati siano stati consultati, almeno finora. Tutto sommato, LastPass sta cercando di inviare il messaggio che, nonostante l’estesa violazione della piattaforma dell’azienda, i dati crittografati degli utenti dovrebbero essere ancora al sicuro da qualsiasi intento nefasto.
Tuttavia, non è come dire che non ci sono rischi o pericoli derivanti dalla violazione. Un malintenzionato molto determinato potrebbe provare a forzare le password crittografate, afferma LastPass, anche se il tentativo sarebbe “estremamente difficile” poiché l’azienda testa regolarmente “le più recenti tecnologie di cracking delle password contro i nostri algoritmi per tenere il passo e migliorare il nostro controlli crittografici.”
Potrebbero esserci ulteriori rischi relativi ad attacchi di phishing o attacchi di forza bruta contro account online associati alle casseforti LastPass degli utenti. In questo caso, LastPass ha osservato che non chiameranno mai, e-mail o messaggi di testo a un utente chiedendogli di fare clic su un collegamento per verificare le proprie informazioni personali. Non chiederanno mai nemmeno di conoscere la password principale di un caveau. Come misura di sicurezza estrema, si consiglia agli utenti del gestore di password online di modificare comunque la propria password principale e tutte le password memorizzate nel caveau.
(articolo tradotto in italiano)