La società madre del servizio di gestione delle password, LastPass, che alla fine del 2022 ha rivelato che la protezione delle password di tutto il suo base di clienti erano ora nelle mani di criminali, ha annunciato che le chiavi di crittografia per alcuni dei suoi altri prodotti sono state compromessa anch'essa.
Cosa significa questo per i suoi utenti?
Qual è stata la violazione dei dati LastPass del 2022?
LastPass e i suoi clienti non hanno avuto un anno migliore nel 2022. Ad agosto, la società ha annunciato in modo sobrio post sul blog che i criminali avevano avuto accesso all'ambiente di sviluppo, al codice sorgente e alle informazioni tecniche di LastPass. Il linguaggio era rassicurante e si riferiva a "attività insolite" e all'incidente come a "uno sviluppo". Una sezione FAQ ha rassicurato i clienti che i loro depositi, password e password principali erano al sicuro, affermando "non raccomandiamo alcuna azione da parte dei nostri utenti o amministratori".
Un mese dopo, dopo un'indagine in collaborazione con Mandiant, il post originale del blog è stato aggiornato, per confortare ulteriormente gli utenti di LastPass che era "nessuna prova che questo incidente abbia comportato l'accesso ai dati dei clienti o ai depositi di password crittografati" e ulteriori utenti patrocinati con il riconoscimento che "gli incidenti di sicurezza di qualsiasi tipo sono inquietanti ma [vogliamo] assicurarvi che i vostri dati personali e le password sono al sicuro nel nostro cura."
Tuttavia, alla fine di novembre 2022, il blog è stato aggiornato ancora una volta, ammettendo che gli intrusi erano riusciti a rubare "alcuni elementi delle informazioni dei nostri clienti".
Finalmente, in un aggiornamento di dicembre 2022, LastPass possedeva al fatto che i criminali erano riusciti a esfiltrare i depositi di dati personali di milioni di clienti, contenenti URL di siti Web e nomi di siti non crittografati, nonché nomi utente e password crittografati, insieme a dati di backup inclusi nomi di clienti, indirizzi e numeri di telefono, indirizzi e-mail, indirizzi IP e carte di credito parziali numeri.
Ancora una volta, LastPass ha cercato di contenere il danno alla reputazione, affermando che "ci vorrebbero milioni di anni per indovinare la tua password principale utilizzando la tecnologia di cracking delle password generalmente disponibile".
Peggio in arrivo per gli utenti LastPass?
LastPass è un società indipendente, di proprietà di GoTo (un provider SaaS, precedentemente noto come LogMeIn), e mentre la violazione di LastPass ha raccolto di più attenzione, la penetrazione iniziale era di un servizio di cloud storage di terze parti, utilizzato sia da GoTo che da LastPass. Poiché LastPass è stato compromesso, anche GoTo è stato compromesso. Gli attori delle minacce sono riusciti a esfiltrare i backup crittografati da entrambe le società.
Il 23 gennaio 2023, GoTo ha rilasciato una dichiarazione sul suo blog affermando di avere "prove che un attore di minacce ha esfiltrato una chiave di crittografia per una parte dei backup crittografati", e inoltre che Impostazioni dell'autenticazione a più fattori (MFA). di un piccolo sottoinsieme dei loro clienti sono stati colpiti.
Ciò significa che i criminali possono facilmente decifrare i loro beni rubati senza dover aspettare milioni di anni per farlo.
Non è chiaro se anche le chiavi di crittografia del vault LastPass siano state esfiltrate.
Segnalazioni di LastPass Vault compromessi
Quasi non appena è stato pubblicato l'aggiornamento di dicembre, MUO è stato contattato dai lettori sostenendo che le password una tantum archiviati solo nelle casseforti di LastPass venivano utilizzati dai criminali per accedere agli account online, con conseguente scambio di SIM attacchi.
Su Twitter, gli utenti hanno riferito che i portafogli crittografici venivano attaccati e prosciugati del loro contenuto: quei semi sarebbero stati archiviati esclusivamente nelle casseforti di LastPass.
Finora, LastPass non ha affrontato queste voci, né le rivelazioni della sua società madre.
GoTo ha almeno iniziato a contattare gli utenti interessati e tutte le password sono state reimpostate automaticamente.
Cambia le tue password per tutto
Esistono servizi di gestione delle password per mantenere le tue password sicure e non indovinabili. Se i criminali hanno le chiavi di quel caveau, allora le tue password possono essere usate da chiunque come desiderano.
La prima cosa che dovresti fare è cambiare le tue password per ogni servizio a cui hai mai avuto accesso online. Ove possibile, dovresti utilizzare anche un nome utente e un indirizzo email univoci.
Non è mai una buona idea affidare i tuoi segreti più profondi a qualcun altro da salvaguardare. BitWarden è un gestore di password che puoi ospitare sul tuo hardware e che genererà nomi utente, alias e-mail e password per ogni sito che visiti. Mentre lo esegui sul tuo computer, non devi lasciare le tue password alla dubbia cura di un'altra azienda.
