LastPass è un nome noto e affidabile nel campo della sicurezza delle password, ma la sua storia di violazioni potrebbe farti prendere in considerazione un'alternativa.
Punti chiave
- LastPass ha subito numerose violazioni dei dati in passato, inclusa una nel 2015 che ha esposto le email degli utenti e le password principali. Tuttavia, la maggior parte degli utenti che hanno utilizzato livelli di sicurezza aggiuntivi probabilmente sono rimasti al sicuro dalla violazione.
- LastPass ha dovuto affrontare critiche nel 2021 quando si è scoperto che la loro app Android conteneva tracker di terze parti, sollevando preoccupazioni sulla sicurezza. LastPass ha risposto affermando che i tracker venivano utilizzati per la telemetria delle applicazioni e potevano essere disabilitati dagli utenti.
- LastPass ha subito una violazione significativa nel 2022, in cui gli aggressori hanno avuto accesso ai dati dei clienti e alle informazioni del caveau degli utenti. Questa violazione ha portato a ulteriori conseguenze per LastPass e la sua società madre, GoTo, tra cui backup crittografati rubati e prove di accesso alla chiave di crittografia.
- Nel complesso, sebbene LastPass sia generalmente considerato sicuro, le molteplici violazioni e incidenti di sicurezza hanno portato alcuni utenti a cercare gestori di password alternativi che non siano stati compromessi.
Molti di noi utilizzano gestori di password per proteggere i nostri dati privati e LastPass è una delle opzioni più popolari in circolazione. Ma LastPass ha subito una buona dose di violazioni dei dati, mettendo a rischio le informazioni sensibili dei clienti.
Quindi, quante volte LastPass è stato violato ed è ancora sicuro da usare?
1. Violazione di LastPass 2015
Il primo hacking di LastPass è avvenuto nel giugno 2015, sette anni dopo la fondazione dell'azienda. Questa grave violazione ha messo alla luce le e-mail e le password principali degli utenti LastPass, nonché i suggerimenti o le parole di promemoria utilizzati per ricordare le password principali. L'hacking è stato notato quando LastPass ha rilevato un'attività di rete sospetta, che è stata presto bloccata. Tuttavia, qualche danno era già stato fatto.
In un nota ormai scaduta ai clienti (disponibile tramite Internet Archive), LastPass ha informato gli utenti che coloro che utilizzavano livelli di sicurezza aggiuntivi come l'hashing e il salting sulle proprie password erano probabilmente al sicuro dall'hacking. Fortunatamente, la maggior parte degli utenti LastPass utilizza questi metodi di sicurezza, il che significa che solo una piccola parte dei clienti aveva la possibilità di essere colpita.
LastPass ha inoltre affermato di non ritenere che sia stato effettuato l'accesso ad alcun account utente a causa dell'attacco, ma ha esortato agli utenti di verificare i propri indirizzi e-mail e rinnovarli ogni settimana o utilizzare ripetutamente le password principali per potenziare sicurezza.
Alcune settimane dopo l'hacking, LastPass ha pubblicato un post sul blog affermando che la sua sicurezza è migliorata dopo l'hacking, con una serie di piccole e grandi modifiche apportate per proteggere ulteriormente i clienti. In queste modifiche è inclusa l'introduzione dei moduli di sicurezza hardware (HSM), che proteggono l'infrastruttura crittografica di LastPass.
2. Incidente di monitoraggio LastPass 2021
Sebbene LastPass non sia stato violato nel 2021, ha riscontrato problemi quando è stato scoperto che la sua app Android conteneva tracker di terze parti. Nel febbraio 2021, un'app di analisi della sicurezza denominata Exodus Privacy ha rivelato di aver trovato sette tracker nell'app LastPass per Android, suscitando sospetti tra gli utenti. Il ricercatore di sicurezza Mike Kuketz ha commentato la scoperta in a Post del blog sulla sicurezza IT di Kuketz, affermando che "è completamente fuori questione integrare [annunci e tracker] nelle app di gestione delle password".
Kuketz ha anche elencato i sette tracker trovati nell'app LastPass per Android, che includevano tracker di Google Analytics, Segment e AppsFlyer. Concedere l'accesso alle piattaforme di analisi di marketing in questo modo è stato condannato da Kuketz, che ha scritto che l'approccio di LastPass è "estremamente discutibile in termini di sicurezza".
Kuketz ha sottolineato che l'app LastPass per Android doveva essere controllata manualmente per discernere se i tracker tenevano attivamente sotto controllo gli utenti. La sola presenza dei tracker, tuttavia, è stata considerata da Kuketz una cattiva pratica per un'app che deve dare priorità alla sicurezza.
In risposta a questa critica, LastPass ha informato gli utenti che utilizza strumenti di analisi. LastPass ha sottolineato che ciò è stato fatto per ottenere approfondimenti sulla "telemetria delle applicazioni, sui dati di segnalazione di errori e arresti anomali, nonché su informazioni statistiche sull'utilizzo di alto livello per migliorare in definitiva le prestazioni generali, l'affidabilità e l'usabilità di [the app]."
È stato inoltre affermato che l'elemento di analisi dell'app LastPass era una funzionalità opzionale che gli utenti potevano disattivare nelle impostazioni avanzate. Ma nonostante ciò, la presenza dei tracker nell’app LastPass per Android ha lasciato l’amaro in bocca agli analisti e agli utenti della sicurezza.
3. Violazioni di LastPass 2022
C'è voluto del tempo prima che LastPass subisse un altro attacco informatico dopo l'incidente iniziale del 2015. Ma nel 2022 si verificò effettivamente un altro attacco. Questo è stato un anno particolarmente difficile per LastPass, con un attacco hacker iniziale in agosto che ha causato ondate di shock che sarebbero continuate nel 2023.
All'inizio di agosto 2022, LastPass è venuta a conoscenza di una violazione in cui un hacker aveva compromesso il laptop di uno sviluppatore LastPass per rubare il codice sorgente e accedere alla piattaforma di sviluppo basata su cloud dell'azienda. L'hacker ha aggirato la sicurezza dell'autenticazione a più fattori sull'account dell'ingegnere autenticandosi con successo come utente. Sebbene si sia trattato di un incidente molto preoccupante, l'hacker non ha recuperato alcuna informazione sul cliente.
Ma qualche mese dopo le cose peggiorarono. Nel dicembre 2022, LastPass ha annunciato che l'hacking di agosto aveva consentito agli aggressori di accedere alle aree più sensibili della sua infrastruttura, sfruttate per la prima volta a novembre. Questa volta, gli hacker hanno avuto accesso ai dati dei clienti LastPass, inclusi indirizzi email e IP, numeri di telefono e nomi. Oltre a ciò, sono stati esposti alcuni tipi di dati del caveau degli utenti, inclusi nomi utente e password memorizzati per gli account online.
Inutile dire che LastPass era ormai in acque molto calde e le cose non si sarebbero fermate nel 2023.
Gli effetti collaterali del 2023
Sebbene il 2023 non abbia portato nuovi hack per LastPass, ha portato informazioni sempre più inquietanti sugli exploit del 2022.
Nel gennaio 2023, la società madre di LastPass, GoTo, ha rilasciato una dichiarazione sulle conseguenze degli attacchi hacker del 2022. La dichiarazione di GoTo ha spiegato che anche molti altri servizi dell'azienda, tra cui Central, Hamachi, Pro, join.me e RemotelyAnywhere, sono stati presi di mira dagli aggressori tramite un dispositivo di archiviazione cloud di terze parti. Da questo dispositivo gli aggressori hanno rubato backup crittografati. Inoltre, GoTo ha rivelato di aver trovato prove che suggeriscono che sia stato effettuato l'accesso anche a una chiave di crittografia per alcuni dei backup rubati.
Nel febbraio 2023, LastPass si è ritrovato di nuovo nei titoli dei giornali quando è stato rivelato che, tra il primo e il secondo hack del 2022, erano state intraprese più azioni dannose da parte degli aggressori.
Come documentato nel post X sopra, gli hacker di novembre 2022 ha compromesso il computer di casa di uno sviluppatore senior di LastPass tramite una vulnerabilità del supporto software. Dopo aver violato il computer, gli hacker hanno installato un keylogger, consentendo loro di visualizzare ciò che lo sviluppatore stava digitando sulla tastiera.
Ciò ha consentito agli aggressori di accedere alla password principale del deposito aziendale LastPass dello sviluppatore, consentendo agli aggressori di accedere al deposito stesso. Ciò che è scioccante è che solo quattro sviluppatori senior di LastPass hanno avuto accesso al caveau aziendale e gli aggressori sono comunque riusciti a prendere di mira con successo uno di questi sviluppatori.
Gli hacker hanno anche utilizzato le credenziali dell'utente rubate nel 2022 per rubare 4,4 milioni di dollari in criptovaluta nell'ottobre 2023. Si ritiene che gli aggressori abbiano avuto accesso alle frasi e alle chiavi seed dei portafogli crittografici nella seconda violazione del 2022, consentendo loro di hackerare i portafogli e ritirare le criptovalute all'indirizzo desiderato.
LastPass ha un elenco completo dei dati a cui si è avuto accesso negli hack del 2022 se desideri vedere tutto ciò che è stato esposto a causa degli incidenti del 2022.
LastPass è ancora sicuro da usare?
Sebbene LastPass sia in servizio dal 2008, la maggior parte delle violazioni dei dati e degli incidenti di sicurezza si sono verificati negli anni 2020. Considerati i molteplici problemi di sicurezza del passato, è naturale sentirsi un po' nervosi riguardo all'utilizzo di LastPass, quindi qual è il verdetto? LastPass è sicuro da usare o dovresti optare per qualcos'altro?
Sebbene sia più sicuro utilizzare LastPass rispetto a una semplice app per appunti o un'opzione di archiviazione simile, oggi potrebbero esserci gestori di password migliori. Con così tanti problemi nel suo record di sicurezza, LastPass è diventato un ostacolo per molti, poiché non si sa quando si verificherà un'altra violazione. Con il 2022 che causa così tanti problemi a LastPass e ai suoi utenti, non sorprende che alcuni utenti abbiano abbandonato la nave, optando per gestori di password che non sono ancora stati violati.
Dashlane e NordPass sono solo due esempi di gestori di password altamente affidabili che non hanno mai subito violazioni della sicurezza, quindi è certamente possibile trovare un gestore di password a cui non sono stati esposti i dati dei clienti o i portali dei dipendenti hacker.
Se attualmente utilizzi LastPass ma vuoi andare altrove, consulta la nostra guida su eliminando il tuo account LastPass. Abbiamo anche una pratica guida su gestori di password più sicuri se hai bisogno di aiuto per scegliere un sostituto.
Tuttavia, gli incidenti di sicurezza di LastPass non lo rendono un gestore di password non sicuro. L'app ha ancora molte funzionalità utili per proteggere le credenziali sensibili ed è facile da usare indipendentemente dalla conoscenza della tecnologia.
LastPass non è il re della gestione delle password
Non c'è nulla di intrinsecamente sbagliato nell'usare LastPass per archiviare le password, poiché l'app è generalmente abbastanza sicura. Tuttavia, vale la pena notare le alternative super sicure disponibili se desideri garantire che le tue informazioni sensibili vengano archiviate nel modo più efficace possibile.
