Proton
is LastPass safe?

Se stai cercando un gestore di password, un prodotto di spicco è LastPass. L’azienda ha avuto una storia turbolenta, tuttavia, che potrebbe farti chiedere: LastPass è sicuro?

Basandosi sul suo scarso rendimento in termini di problemi di sicurezza, la risposta breve è che no, LastPass non è sicuro e probabilmente dovresti evitarlo. Se l’hai già installato, l’opzione più sicura è eliminare LastPass ed esportare e poi cancellare qualsiasi dato detenuto dall’azienda affinché non sia più a rischio.

Non consigliamo spesso così fortemente contro altri servizi online e, sebbene nessun sistema sia sicuro al 100%, i persistenti problemi di sicurezza di LastPass dovrebbero suonare come un campanello d’allarme per chiunque consideri di archiviare i propri dati più sensibili lì. Vediamo perché abbiamo fatto questa raccomandazione.

Quanto è sicuro LastPass?

Ci sono abbondanti prove e ricerche che dimostrano che LastPass non è sicuro da usare. L’azienda ha commesso diversi errori in varie occasioni, portando ad alcuni dei più grandi attacchi nella storia del web.

Molti di questi problemi sembrano derivare dall’incapacità dell’azienda di imparare dai propri errori, trascurando di implementare le misure di sicurezza molto necessarie che sono solitamente standard in qualsiasi gestore di password, incluso il nostro, Proton Pass.

Cronologia degli incidenti di sicurezza di LastPass

LastPass è stata fondata nel 2008 e ha avuto qualche tipo di scandalo sulla sicurezza nella maggior parte degli anni dal 2011. Sebbene non tutti questi incidenti siano stati effettivi furti di dati, emerge rapidamente l’immagine di un’azienda che non sembra prendere la sicurezza particolarmente sul serio, rendendo il disastro inevitabile. Ripercorriamo tutti gli incidenti principali che LastPass ha vissuto nella sua breve esistenza.

2011: Una violazione limitata e contenuta

La prima violazione subita da LastPass fu una violazione limitata e contenuta nel maggio 2011 in cui i dettagli degli account degli utenti LastPass — forse solo un paio di centinaia — potrebbero essere stati esposti(nuova finestra). Questo è probabilmente dovuto al fatto che molti di questi clienti utilizzavano password facilmente decifrabili per il loro account LastPass. Ciò li ha resi vulnerabili agli attacchi brute-force in cui i criminali usano software per “indovinare” le password.

In un post del blog ora cancellato — un comportamento che vedremo ripetersi in questa cronologia — LastPass raccomandava che fossero utilizzate password più forti per proteggere gli account, oltre a garantire che ogni tentativo di accesso fosse verificato tramite un indirizzo IP. Dal 2011 ad oggi, i metodi per proteggere dagli attacchi brute-force sono migliorati, ma allora era una risposta ragionevole.

2015: Attacco brute force di durata sconosciuta

Nel giugno 2015, quattro anni dopo l’ultimo attacco, LastPass è stata nuovamente attaccata(nuova finestra) e in modo molto simile. I criminali hanno tentato di forzare l’accesso e sono riusciti a penetrare negli account delle persone che avevano usato password deboli. LastPass ha nuovamente risposto in modo esaustivo, informando le forze dell’ordine e reimpostando la password principale di tutti, costringendo gli utenti a effettuare l’accesso tramite email.

Tuttavia, LastPass ha anche iniziato una tendenza a non rivelare dettagli sull’attacco, soprattutto quanti fossero gli utenti colpiti e per quanto tempo l’attacco fosse passato inosservato prima di essere scoperto. Il successo di un attacco brute force può essere misurato dal tempo a disposizione degli attaccanti per portarlo a termine; più velocemente reagisci, meno efficace sarà. Il fatto che LastPass non abbia divulgato questi dettagli ha dato l’impressione che potesse essere durato più a lungo di quanto sarebbe considerato sicuro.

2016: Hacker etici all’opera

L’anno successivo all’attacco brute force, ci sono stati diversi incidenti in cui i ricercatori di sicurezza — hacker etici che testano la sicurezza con l’obiettivo di migliorarla, non per rubare dati — sono riusciti a penetrare.

Il primo è stato rivelato a gennaio. Si trattava di un semplice attacco di phishing in cui gli utenti di LastPass potevano essere facilmente ingannati nel fornire le loro credenziali. I dettagli di come funzionava sono spiegati su Hackread(nuova finestra), ma probabilmente la reazione di LastPass è ciò che più interessa. L’azienda ha deviato le critiche affermando che si trattava di un attacco di phishing e quindi al di fuori del suo ambito, ignorando il fatto che le aziende possono prevedere queste eventualità.

Il secondo incidente(nuova finestra) nel luglio 2016 è stato uno scenario simile, in cui il ricercatore di sicurezza di Google Tavis Ormandy — un nome che incontreremo ancora a breve — ha ingannato l’add-on di LastPass per Firefox per ottenere dettagli degli utenti. La reazione di LastPass è stata quella di emettere un avviso di sicurezza in un post sul blog ora cancellato (un altro tentativo vano di cancellare la storia) per aggiornare l’estensione.

Il difetto finale, e peggiore, è stato nello stesso mese e scoperto dal ricercatore di sicurezza Mathias Karlsson. I dettagli sono qui(nuova finestra), ma la versione breve è che LastPass ha lasciato un grave bug nel suo codice che permetteva a un hacker esperto di estrarre qualsiasi password utilizzata su un sito tramite il riempimento automatico di LastPass. Fortunatamente, LastPass ha risolto il problema non appena Karlsson lo ha segnalato, e gli ha anche pagato un premio per averlo trovato.

2017: Altri bug, minori e maggiori

Tavis Ormandy sembra aver fatto di LastPass il suo progetto personale in qualche momento, continuando a rivelare problemi con costanza nel 2016 e nel 2017. La maggior parte di questi erano piuttosto semplici e notevoli principalmente per il loro numero. LastPass non sembra aver preso molto sul serio il controllo di qualità, o almeno ha presupposto che persone come Ormandy lo avrebbero fatto per loro.

Tuttavia, c’era un difetto che è stato ritenuto abbastanza grave da finire sulle pagine di The Guardian(nuova finestra) nel marzo 2017. Purtroppo, non sappiamo molto su cosa sia effettivamente accaduto poiché a quanto pare rivelare dettagli potrebbe rendere gli utenti di LastPass ancora meno sicuri di quanto già non fossero. Se pensi che la trasparenza sia una parte vitale della sicurezza — e noi lo pensiamo — questo dovrebbe essere motivo sufficiente per non utilizzare mai LastPass.

2019: Ormandy colpisce ancora

Ormandy ha continuato il suo lavoro di imbarazzo per LastPass, trovando molti bug minori. Tuttavia, nel settembre 2019 ha nuovamente trovato qualcosa di abbastanza grave da essere menzionato sulla stampa. Come nel 2016, si trattava di un bug in un’estensione del browser, questa volta quelle per Opera e Chrome, che permetteva agli aggressori di estrarre le informazioni di login(nuova finestra) di qualsiasi sito precedentemente visitato dagli utenti.

LastPass ha corretto il bug non appena Ormandy lo ha segnalato, ma è stata piuttosto tranquilla nel comunicarlo ai suoi utenti, poiché il problema “colpiva” solo le estensioni per Chrome e Opera; nessuna menzione del fatto che Chrome è di gran lunga il browser più utilizzato(nuova finestra) in circolazione.

2021: LastPass sorpreso a raccogliere dati

Nel febbraio 2021 il ricercatore di sicurezza Mike Kuketz ha portato alla luce un’altra rivelazione scioccante(nuova finestra), ovvero che LastPass stava utilizzando tracker nel suo gestore di password. Anche se l’azienda ha affermato di averlo fatto solo per vedere come le persone utilizzavano il prodotto, la realtà è che tali tracker possono anche essere usati per raccogliere dati pubblicitari.

Questa è anche l’ipotesi più probabile. Come dice Kuketz, non c’è motivo di raccogliere informazioni nel modo in cui lo ha fatto LastPass, perché esistono modi molto più sicuri e meno invasivi per farlo.

2022: Il colpo di grazia?

Alla fine, però, il passato di sicurezza approssimativa di LastPass si è rivelato un boomerang. Nel corso di diversi mesi l’azienda ha dovuto ammettere diversi gravi incidenti di sicurezza, poi è stata sorpresa a minimizzare la gravità degli stessi. Abbiamo la storia completa qui, ma ecco un riassunto:

Nell’agosto 2022, l’azienda ha ammesso che un hacker aveva avuto accesso all’ambiente di sviluppo (pensalo come un laboratorio dove il software viene assemblato e ritoccato prima del lancio), ma non era riuscito ad accedere alle informazioni dei clienti. A dicembre, l’azienda ha ammesso che l’ambiente di sviluppo era stato violato nuovamente e che questa volta gli aggressori avevano rubato dati dei clienti.

Poi, nel marzo 2023, è emerso che l’azienda aveva mentito nelle dichiarazioni precedenti e che gli aggressori avevano rubato molto di più, incluso dare un’occhiata non solo ai dati dei clienti, ma persino all’architettura di sicurezza di LastPass stessa. Questo rende LastPass vulnerabile per sempre a meno che non riveda completamente la sua architettura.

Cosa usare al posto di LastPass

Come puoi vedere, l’ultimo incidente di LastPass non è un caso isolato; la compagnia ha una lunga storia di scarsa attenzione alla sicurezza e di mettere i suoi clienti in secondo piano. Ripetutamente ha fallito nel lanciare prodotti competenti e poi, quando scoperto, ha minimizzato l’impatto sui clienti — quando non ha mentito apertamente.

Se sei ancora un utente di LastPass, meriti di meglio. Ecco perché abbiamo sviluppato Proton Pass, un gestore di password che prende la sicurezza sul serio e tratta le persone con rispetto. Lo facciamo attraverso la trasparenza, con tutto il codice client open-source, il che significa che chiunque può verificare il nostro lavoro. Il nostro codice è anche sottoposto a revisione indipendente da esperti di sicurezza terzi. La nostra sicurezza è ulteriormente rafforzata dal programma di bug bounty di Proton che incentiva i ricercatori di sicurezza a mettere alla prova il nostro codice.

Scopri di più sulla sicurezza di Proton Pass.

Come azienda fondata da scienziati, la trasparenza e la revisione paritaria sono valori fondamentali, e siamo guidati dalla missione di rendere il web più privato e sicuro.

Come utente Proton, hai accesso a tecnologie all’avanguardia che utilizzano autenticazione a due fattori per proteggerti dagli attacchi brute-force, così come sofisticate tecnologie anti-phishing e funzionalità integrate per la privacy come gli alias Hide-my-email.

Se tutto questo ti sembra interessante, unisciti a noi oggi. Abbiamo una guida su come puoi facilmente esportare i tuoi dati LastPass su Proton Pass.

Articoli correlati

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.