I dati personali e i depositi di password contenenti le credenziali di accesso di milioni di utenti sono ora nelle mani dei criminali. Se hai mai usato il gestore di password, LastPass, dovresti cambiare tutte le tue password per tutto, ora. E dovresti prendere immediatamente ulteriori misure per proteggerti.
Cosa è successo nella violazione dei dati LastPass del 2022?
LastPass è un servizio di gestione delle password che opera su un modello "freemium". Gli utenti possono memorizzare tutte le loro password e accessi per i servizi online con LastPass e accedervi tramite l'interfaccia web, tramite componenti aggiuntivi del browser e tramite app per smartphone dedicate.
Le password sono memorizzate in "caveau", che sono protette da un'unica password principale.
Nell'agosto 2022, LastPass ha annunciato che i criminali avevano utilizzato un account sviluppatore compromesso per accedere all'ambiente di sviluppo, al codice sorgente e alle informazioni tecniche di LastPass.
Ulteriori dettagli sono stati rilasciati nel novembre 2022, quando LastPass ha aggiunto che alcuni dati dei clienti erano stati divulgati.
La vera gravità della violazione è stata rivelata il 22 dicembre, quando a Post sul blog di LastPass ha notato che i criminali avevano utilizzato alcune delle informazioni ottenute nel precedente attacco per rubare i dati di backup inclusi nomi di clienti, indirizzi e numeri di telefono, indirizzi e-mail, indirizzi IP e carta di credito parziale numeri. Inoltre, sono riusciti a rubare i depositi delle password degli utenti contenenti URL di siti Web e nomi di siti non crittografati, nonché nomi utente e password crittografati.
È difficile per i criminali decifrare la tua password principale di LastPass?
In teoria, sì, gli hacker dovrebbero avere difficoltà a decifrare la tua password principale. Il post sul blog LastPass rileva che se si utilizzano le impostazioni consigliate predefinite, "ci vorrebbero milioni di anni per indovinare la password principale utilizzando la tecnologia di cracking delle password generalmente disponibile".
LastPass richiede che la password principale contenga un minimo di 12 caratteri e consiglia di "non riutilizzare mai la password principale su altri siti Web".
Tuttavia, LastPass è unico tra i servizi di gestione delle password in quanto consente agli utenti di impostare un suggerimento per la password per ricordare loro la password principale in caso di smarrimento.
In effetti, questo incoraggia gli utenti a utilizzare parole e frasi del dizionario come parte della loro password, piuttosto che una password complessa veramente casuale. Nessun suggerimento per la password ti aiuterà se la tua password è "lVoT=.N]4CmU".
I depositi di password di LastPass sono nelle mani dei criminali ormai da tempo e, anche se sono crittografati, alla fine lo faranno subire attacchi di forza bruta.
Gli aggressori troveranno il loro lavoro più facile grazie all'esistenza di enormi database di password di uso comune. È possibile scaricare un elenco di password da 17 GB comprendente i 613 milioni di password più comuni da haveibeenpwned, ad esempio. Altri elenchi di password e credenziali sono disponibili sul dark web.
Provare ciascuno del mezzo miliardo di chiavi più comuni contro un singolo caveau richiederebbe pochi minuti, anche se relativamente pochi sarebbero i 12 caratteri richiesti, è probabile che i criminali informatici riescano facilmente a introdursi in una buona parte di volte.
Aggiungete a ciò il fatto che la potenza di calcolo aumenta di anno in anno e che i criminali motivati possono utilizzare reti distribuite per aiutare con lo sforzo; "milioni di anni" non sembra fattibile per la maggior parte dei conti.
La violazione di LastPass riguarda solo le password?
Mentre la notizia principale è che i criminali possono prendersi il loro tempo per entrare nel tuo caveau LastPass, possono trarne vantaggio di te in altri modi utilizzando il tuo nome, indirizzo, numero di telefono, indirizzo e-mail, indirizzo IP e carta di credito parziale numero.
Questi possono essere utilizzati per una serie di scopi nefasti tra cui attacchi di spearphishing contro di te e i tuoi contatti, furto di identità, acquisizione di crediti e prestiti a tuo nome e attacchi di scambio di SIM.
Come puoi proteggerti dopo le violazioni dei dati di LastPass?
Dovresti presumere che entro pochi anni la tua password principale verrà compromessa e tutte le password contenute all'interno saranno note ai criminali. Dovresti cambiarle ora e utilizzare password univoche che non hai mai usato prima e che non sono in nessuno degli elenchi di password comunemente usati.
Per quanto riguarda gli altri dati criminali ottenuti da LastPass, dovresti congelare il tuo creditoe coinvolgere un servizio di monitoraggio del credito per monitorare qualsiasi nuova carta o richiesta di prestito a tuo nome. Se sei in grado di cambiare il tuo numero di telefono senza troppi inconvenienti, dovresti farlo anche tu.
Assumiti la responsabilità della tua sicurezza
È facile incolpare LastPass per le violazioni dei dati che hanno visto i tuoi depositi di password e i tuoi dati personali cadere nelle mani di criminali, ma i servizi di gestione delle password che proteggono la tua vita e ti aiutano a generare combinazioni uniche sono ancora il modo migliore per proteggere la tua attività online vita.
Un modo per rendere più difficile agli aspiranti ladri entrare in possesso dei tuoi dati vitali è ospitare un gestore di password sul tuo hardware. È economico, facile da fare e alcune soluzioni, come VaultWarden, possono persino essere implementate su un Raspberry Pi Zero.
