La societร , che รจ di proprietร dell’azienda software-as-a-service GoTo, che era LogMeIn, ha pubblicato un rapporto molto breve ma comunque utileย suย quell’incidente circa un mese dopo:
In poche parole, LastPass ha concluso che gli aggressori sono riusciti a impiantare malware sul computer di uno sviluppatore.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Con una testa di ponte su quel computer, sembra che gli aggressori siano stati quindi in grado di attendere fino a quando lo sviluppatore non avesse completato il processo di autenticazione di LastPass, inclusa la presentazione di tutte le necessarie credenziali di autenticazione a piรน fattori, e quindi “tailgate” nei sistemi di sviluppo dell’azienda.
LastPass ha insistito sul fatto che l’account dello sviluppatore non aveva concesso ai criminali l’accesso ai dati dei clienti, o addirittura ai depositi di password crittografati di nessuno.
La societร ha ammesso, tuttavia, che i truffatori si erano impossessati di informazioni proprietarie di LastPass, in particolare tra cuiย “alcuni dei nostri codici sorgente e informazioni tecniche”ย , e che i truffatori sono rimasti nella rete per quattro giorni prima di essere individuati e cacciati.
Secondo LastPass, le password dei clienti di cui รจ stato eseguito il backup sui server dell’azienda non esistono mai in forma decrittografata nel cloud.ย La password principale utilizzata per decifrare le password salvate viene sempre e solo richiesta e utilizzata in memoria sui propri dispositivi.ย Pertanto, tutte le password archiviate nel cloud vengono crittografate prima di essere caricate e decrittografate nuovamente solo dopo essere state scaricate.ย In altre parole, anche se i dati del deposito password fossero stati rubati, sarebbero stati comunque incomprensibili.
Ultimi sviluppi
Proprio alla fine di novembre 2022, tuttavia, LastPassย ha inoltre ammessoย che nella storia c’era qualcosa di piรน di quanto forse avessero sperato.
Secondo unย bollettino sulla sicurezzaย datato 2022-11-30, la societร รจ stata recentemente violata nuovamente da aggressoriย “utilizzando le informazioni ottenute nell’incidente dell’agosto 2022”ย e questa volta i dati dei clienti sono stati rubati.
In altre parole, anche se i criminali non sono stati in grado di scavare nei registri dei clientiย direttamenteย dall’account dello sviluppatore che รจ stato infettato dal malware ad agosto, sembra che i criminali siano comunque scappati con dettagli interni cheย hanno fornito loroย indirettamenteย , o qualcuno a cui hanno venduto i dati, l’accesso alle informazioni sui clienti in seguito.
Intermezzo promozionale ... continua la lettura dopo il box:
Sfortunatamente, LastPass non ha ancora fornito alcuna informazione sul tipo di dati dei clienti rubati, riferendo semplicemente che staย “lavorando diligentemente per comprendere la portata dell’incidente e identificare a quali informazioni specifiche รจ stato effettuato l’accesso”ย .
Tutto ciรฒ che LastPass puรฒ dire con certezza in questo momento [2022-12-01-T23:30Z] รจ ribadire cheย “le password dei nostri clienti rimangono crittografate in modo sicuro grazie all’architettura Zero Knowledge di LastPass”.
(ย Conoscenza zeroย รจ un termine gergale che riflette il fatto che sebbene LastPass conservi una sorta di dati nei depositi delle password dei suoi clienti, non ha alcuna conoscenza di ciรฒ a cui si riferiscono effettivamente tali dati, o anche se in realtร consistono in nomi di account e password a tutto.)
In breve, anche se alla fine si scopre che i truffatori potrebbero essersi impossessati di informazioni personali come indirizzi di casa, numeri di telefono e dettagli della carta di pagamento (anche se speriamo che non sia cosรฌ, ovviamente), le tue password sono ancora sicure come la password principale che hai scelto originariamente per te stesso, che i servizi cloud di LastPass non richiedono mai, figuriamoci conservarne le copie.
Cosa fare?
- Se sei un cliente LastPass,ย ti suggeriamo di tenere d’occhio il rapporto sugli incidenti di sicurezza dell’azienda per gli aggiornamenti.
- Se sei un difensore della sicurezza informatica,ย perchรฉ non ascoltare iย consigli degli espertiย del ricercatore di sicurezza informatica di Sophos Chester Wisniewski su come proteggere il tuo patrimonio IT da questo tipo di attacco “prendi una testa di ponte e vai avanti da lรฌ”?
Nel podcast qui sotto (c’รจ unaย trascrizione completaย se preferisci leggere piuttosto che ascoltare), Chester discute di unย simile tipo di violazioneย che si รจ verificato nel settembre 2022 presso l’azienda Uber, e ti ricorda perchรฉ “divide et impera”, noto anche con il termine gergaleย zero trustย , รจ una parte importante della cyberdefence contemporanea.
Come spiega Chester, anche se tutte le violazioni causano qualche danno, sia alla tua reputazione che ai tuoi profitti, il risultato sarร inevitabilmente molto peggiore se i truffatori che ottengono l’accesso adย una parteย della tua rete possono girovagare dove vogliono finchรฉ non ottengono l’accesso. aย tuttoย ciรฒ.
Fonte :
LastPass admits to customer data breach caused by previous breach