LastPass data breach: nuovo attacco informatico contro il noto gestore di password. Questa volta il danno è grosso: gli attaccanti hanno in mano ULR, credenziali e dati sensibili.

LastPass data breach: annus horribilis


Secondo data breach, quest’anno, per Lastpass. La prima violazione, subita ad Agosto, ha comportato la compromissione del suo ambiente di sviluppo. Ambiente separato da quello dove l’azienda conserva i dati degli utenti, quindi non c’era stata violazione di dati personali. Gli attaccanti però hanno messo le mani su alcune parti del codice di Lastpass e su parte della documentazione tecnica. E, evidentemente, su dati utili ad effettuare un secondo accesso, questa volta sul cloud che ospita i dati degli utenti.

La violazione di GoTo e i suoi effetti su LastPass


La notizia della seconda violazione in pochi mesi proviene direttamente dal CEO Karim Toubba, che ha pubblicato un primo post sul tema

“A tutti i clienti di LastPass, per rimanere coerenti al nostro impegno in termini di trasparenza, ho voluto informarvi di un incidente di sicurezza su cui il nostro team sta al momento indagando”.

L’incidente di sicurezza di cui parla Toubba è quello che ha riguardato un servizio cloud di terze parti, usato anche da un’azienda importante come GoTo. GoTo, un tempo conosciuta come LogMeIn, gestisce popolari servizi per webinar online. Ambiente cloud, spiega l’azienda, che è utilizzato anche da LastPass.

“Di recente abbiamo rilevato attività insolite all’interno di un servizio di archiviazione cloud di terze parti, attualmente condiviso sia da LastPass che dalla sua affiliata, GoTo . Abbiamo immediatamente avviato un’indagine, coinvolto Mandiant, una delle principali società di sicurezza, e allertato le forze dell’ordine. Abbiamo stabilito che una parte non autorizzata, utilizzando le informazioni ottenute nell’incidente dell’agosto 2022, è stata in grado di ottenere l’accesso a determinati elementi delle informazioni dei nostri clienti. Le password dei nostri clienti rimangono crittografate in modo sicuro grazie all’architettura Zero Knowledge di LastPass.”

si legge nella nota pubblicata dalla società.

LastPass data breach: gli aggiornamenti portano pessime notizie


Con la nota sopra citata, l’azienda ha annunciato appunto l’avvio di una indagine interna. Qualche giorno fa sono stati resi noti alcuni dettagli emersi.

Ecco quindi che c’è la conferma che una terza parte non auorizzata ha avuto accesso allo storage cloud con i dati degli utenti. In dettagli le indagini hanno permesso di ricostruire che gli attaccanti hanno usato alcune informazioni rubate col breach di Agosto per prendere di mira un altro dipendente. Hanno ottenuto così credenziali e chiavi che sono state utili per decriptare alcuni volumi archiviati sul cloud. In dettaglio sono state violate alcune copie di backup dei dati degli utenti. Tra questi dati le password, che sono il motivo principe del servizio di sicurezza fornito da Lastpass. Ma non solo: anche gli URL dei siti web sui quali funzionano le credenziali sono stati esposti.

Da questo punto di vista Lastpass ha però garantito che i dati sono criptati e possono essere riportati in chiaro solo con la master pass, la chiave che non viene memorizzata mai online per motivi di sicurezza. La masterpass però, va detto, è scelta dagli utenti quindi, in caso di masterpass debole, un attacco di brute force non solo è possibile, ma anche piuttosto semplice. Insomma, alcuni ricercatori di sicurezza mettono in dubbio l’eccessiva sicurezza di LastPass nel garantire che i dati sono stati si acceduti, ma sono rimasti criptati. LastPass ha comunque, correttamente, avvisato gli utenti del rischio di attacchi di brute-forcing della masterpass specificando che, in caso di successo, gli attaccanti potranno mettere le mani sull’intero set di dati criptati dell’utente.

Nell’aggiornamento, l’azienda ha comunicato anche che, a seguito della prima irruzione della rete in Agosto, l’attaccante ha mantenuto l’accesso alla rete per 4 giorni prima di essere individuato e di vedere chiusi gli accessi abusivi.