LastPass è un gestore di password freemium che memorizza le password crittografate nel cloud, originariamente sviluppato dalla società Marvasol, Inc.
Sviluppatori gestore di password LastPass, utilizzato da più di 33 milioni di persone e più di 100.000 aziende, ha notificato agli utenti un incidente in cui gli aggressori sono riusciti ad accedere ai backup di stoccaggio con i dati dell'utente dal servizio.
I dati includevano informazioni come nome utente, indirizzo, e-mail, telefono e indirizzi IP da cui è stato effettuato l'accesso al servizio, nonché nomi di siti non crittografati memorizzati nel gestore delle password e accessi, password, dati dei moduli e note crittografate archiviate su questi siti .
Per proteggere accessi e password dei siti, La crittografia AES è stata utilizzata con una chiave a 256 bit generata utilizzando la funzione PBKDF2 basato su una password principale nota solo all'utente, con una lunghezza minima di 12 caratteri. La crittografia e la decrittografia di accessi e password in LastPass viene eseguita solo dal lato utente e indovinare la password principale è considerata irrealistica sull'hardware moderno, date le dimensioni della password principale e il numero di iterazioni applicato di PBKDF2 .
Per portare a termine l'attacco, hanno utilizzato i dati ottenuti dagli aggressori durante l'ultimo attacco avvenuto ad agosto ed è stato effettuato compromettendo l'account di uno degli sviluppatori del servizio.
L'attacco di agosto ha consentito agli aggressori di ottenere l'accesso all'ambiente di sviluppo, codice dell'applicazione e informazioni tecniche. Successivamente si è scoperto che gli aggressori hanno utilizzato i dati dell'ambiente di sviluppo per attaccare un altro sviluppatore, per il quale sono riusciti a ottenere le chiavi di accesso al cloud storage e le chiavi per decrittografare i dati dai contenitori ivi archiviati. I server cloud compromessi ospitavano backup completi dei dati di servizio del lavoratore.
La divulgazione rappresenta un drammatico aggiornamento di una scappatoia rivelata da LastPass ad agosto. L'editore ha riconosciuto che gli hacker "hanno preso parti del codice sorgente e alcune informazioni tecniche proprietarie da LastPass". La società ha affermato che le password principali dei clienti, le password crittografate, le informazioni personali e altri dati archiviati negli account dei clienti non sono stati interessati.
AES a 256 bit e può essere decrittografato solo con una chiave di decrittazione univoca derivata dalla password principale di ciascun utente utilizzando la nostra architettura Zero Knowledge”, ha spiegato il CEO di LastPass Karim Toubba, riferendosi all'Advanced Encryption Scheme. Zero Knowledge si riferisce a sistemi di archiviazione impossibili da decifrare per il fornitore di servizi. L'amministratore delegato ha proseguito:
Ha inoltre elencato diverse soluzioni adottate da LastPass per rafforzare la propria sicurezza dopo la violazione. I passaggi includono la disattivazione dell'ambiente di sviluppo compromesso e la ricostruzione da zero, il mantenimento di un servizio gestito di rilevamento e risposta degli endpoint e la rotazione di tutte le credenziali e i certificati pertinenti che potrebbero essere stati compromessi.
Data la riservatezza dei dati archiviati da LastPass, è allarmante che sia stata ottenuta una gamma così ampia di dati personali. Sebbene decifrare gli hash delle password richiederebbe molte risorse, non è fuori discussione, soprattutto considerando il metodo e l'ingegnosità degli aggressori.
I clienti LastPass dovrebbero assicurarsi di aver cambiato la loro password principale e tutte le password memorizzate nel tuo caveau. Dovrebbero anche assicurarsi di utilizzare impostazioni che superano le impostazioni predefinite di LastPass.
Queste configurazioni confondono le password memorizzate utilizzando 100100 iterazioni della funzione di derivazione della chiave basata su password (PBKDF2), uno schema di hashing che può rendere impossibile decifrare password principali lunghe e univoche e le 100100 iterazioni generate in modo casuale sono tristemente al di sotto della soglia consigliata da OWASP di 310 iterazioni per PBKDF000 in combinazione con l'algoritmo hash SHA2 utilizzato da LastPass.
Clienti LastPass dovrebbero anche essere molto attenti alle e-mail di phishing e alle telefonate che si presume provengano da LastPass o altri servizi che cercano dati sensibili e altre truffe che sfruttano i tuoi dati personali compromessi. L'azienda offre anche una guida specifica per i clienti aziendali che hanno implementato i servizi di accesso federato di LastPass.
Infine, se sei interessato a saperne di più, puoi consultare i dettagli nel seguente link