Proton

Con oltre 33 milioni di utenti registrati e più di 100.000 clienti Business, LastPass è uno dei gestori di password più popolari al mondo. Dopo una serie di rivelazioni sempre più dannose negli ultimi mesi, LastPass ha ora ammesso che i suoi sistemi sono stati compromessi più volte e che è stato rubato un enorme tesoro di dati sensibili dei clienti.

In questo articolo, esaminiamo la violazione dei dati di LastPass e valutiamo le lezioni che possiamo trarne.

Cronologia di una crisi in escalation

Nelle sue rivelazioni, LastPass ha tenuto a sottolineare una distinzione tra il suo ambiente di sviluppo e il suo ambiente di produzione, che afferma essere fisicamente separati l’uno dall’altro (cioè ospitati su reti completamente diverse di server).

L’ambiente di sviluppo è utilizzato per sviluppare e testare il software prima che venga messo in produzione. Nessun dato dei clienti è memorizzato nell’ambiente di sviluppo. L’ambiente di produzione contiene il software e l’infrastruttura utilizzati per fornire il servizio ai clienti su base quotidiana. I dati dei clienti sono memorizzati nell’ambiente di produzione.

La storia si è svolta in tre rivelazioni da parte di LastPass:

  • Agosto 2022: il CEO Karim Toubba ha rilasciato una dichiarazione(nuova finestra) affermando che “Una parte non autorizzata ha avuto accesso a parti dell’ambiente di sviluppo di LastPass attraverso un singolo account sviluppatore compromesso e ha preso parti del codice sorgente e alcune informazioni tecniche proprietarie di LastPass”. Toubba ha notato che, poiché era solo l’ambiente di sviluppo ad essere stato compromesso, nessun dato dei clienti è stato accessibile. Ha anche affermato che la violazione è stata contenuta con successo.
  • Dicembre 2022: Toubba ha aggiornato la sua precedente dichiarazione per annunciare una seconda violazione, questa volta del suo ambiente di produzione. Durante questo incidente, un attaccante è stato in grado di copiare i dati del vault dei clienti.

Allora, cos’è successo?

Alla fine, l’attacco si è rivelato molto peggio di quanto LastPass avesse inizialmente divulgato:

1. I pirati informatici sono stati in grado di accedere all’account utente di un ingegnere software di LastPass. Ciò è stato possibile utilizzando credenziali di accesso rubate (nome utente e password). Gli account dei dipendenti di LastPass sono protetti mediante autenticazione a due fattori (2FA), ma l’attaccante ha utilizzato con successo una tattica nota come stanchezza da autenticazione multi-fattore (MFA)(nuova finestra) per ingannare l’ingegnere inducendolo ad accettare una richiesta fasulla di 2FA.

Con l’ambiente di sviluppo cloud di Amazon Web Services(nuova finestra) (AWS) ora compromesso, sono stati rubati preziosi asset aziendali, ma nessun dato dei clienti. Una volta scoperto, LastPass ha creduto di aver contenuto la violazione rimuovendo e ricostruendo da zero l’ambiente di sviluppo e cambiando tutte le credenziali degli utenti per l’ambiente di sviluppo.

2. All’insaputa di LastPass al momento, gli attaccanti avevano esaminato i log di AWS per scoprire dove erano memorizzate le chiavi di cifratura di LastPass, chi aveva accesso ad esse e gli indirizzi IP da cui erano state accedute.

3. Gli attaccanti hanno scandagliato questi indirizzi IP alla ricerca di vulnerabilità e hanno scoperto che un ingegnere Senior DevOps di LastPass stava eseguendo una versione molto vecchia di Plex(nuova finestra) sulla propria rete domestica.

4. Plex è una piattaforma popolare che ti permette di configurare un dispositivo come server multimediale in grado di trasmettere i tuoi contenuti multimediali agli altri tuoi dispositivi. L’ingegnere Senior DevOps stava eseguendo una versione vecchia di tre anni e si sapeva che aveva una vulnerabilità critica(nuova finestra) che permette a chiunque abbia accesso al server Plex di caricare codice malevolo sulla macchina host ed eseguirlo. Plex aveva risolto la vulnerabilità tre anni fa, ma l’ingegnere non aveva aggiornato il proprio software.

5. Sfruttando questa vulnerabilità, gli attaccanti hanno installato malware keylogger sul sistema domestico dell’ingegnere DevOps. Quando l’ingegnere DevOps senior ha utilizzato questo sistema domestico per accedere a LastPass e accedere legittimamente alla cassaforte aziendale di LastPass, l’attaccante ha ottenuto tutte le credenziali necessarie per accedere alle casseforti stesse.

Poiché questo sistema domestico era sotto il radar aziendale, ma appariva comunque come traffico normale ai controlli di sicurezza di LastPass, l’attaccante è stato in grado di operare inosservato per quasi otto settimane (dal 12 agosto 2022 al 26 ottobre 2022).

6. Sfruttando questa posizione ben consolidata con accesso quasi illimitato alle credenziali segrete, gli attaccanti potevano accedere liberamente sia all’ambiente di sviluppo che a quello di produzione. Questo ha permesso loro di scaricare dati crittografati dei clienti, backup critici del database e codice sorgente.

Con l’accesso al deposito segreto, ora possono anche decrittografare completamente alcuni dei dati che erano stati crittografati a riposo.

Cosa è stato esattamente rubato?

1. Database delle password dei clienti.

LastPass non ha rivelato il numero esatto di database delle password dei clienti che sono stati rubati, ma sembra essere elevato e possibilmente tutti.

Fortunatamente questi database delle password erano criptati, quindi l’attaccante non può ottenere in modo banale nomi utente e password dei clienti, ma questo non significa anche che sia impossibile.

Sfortunatamente, molte persone che utilizzano password deboli sono facili bersagli per attacchi di forza bruta(nuova finestra). In aggiunta a ciò, molte persone riutilizzano le password tra i siti web, il che le rende vulnerabili agli attacchi di riempimento delle credenziali(nuova finestra). Questi attacchi possono essere eseguiti offline e, criticamente, possono essere eseguiti a tempo indeterminato dall’attaccante (l’attaccante ha virtualmente tempo illimitato per portare avanti questi attacchi).

Durante la violazione, è stata rubata anche una quantità non specificata di codice sorgente. È possibile che un attaccante esperto possa sfruttare questo codice per trovare difetti nella logica di crittografia o nel servizio che possono essere utilizzati per bypassare o semplificare il processo di sconfiggere le password principali degli utenti.

Vale anche la pena notare che alcune informazioni nei database non sono criptate e quindi possono essere liberamente accessibili dall’attaccante. Questo include metadati come URL, percorsi dei file per il software LastPass installato su Windows o macOS, e alcuni indirizzi e-mail degli utenti.

2. Database MFA/Federazione di LastPass

Questo database conteneva tutte le informazioni necessarie a compromettere l’autenticazione 2FA per gli account LastPass. Quindi se le credenziali di accesso di un database sono compromesse, avere il 2FA abilitato è di poco aiuto.

Questo database era criptato, ma le sue chiavi di crittografia sono state rubate durante il secondo incidente.

Chi è responsabile e perché?

Probabilmente non sapremo mai con certezza chi è stato dietro a questo attacco, ma alcuni hanno ipotizzato che potrebbero essere stati hacker nordcoreani.

L’obiettivo era probabilmente utilizzare le password rubate per svuotare i portafogli di criptovalute degli utenti di LastPass. Si stima che gli hacker nordcoreani abbiano rubato circa 1,2 miliardi(nuova finestra) di dollari in criptovalute e altri asset virtuali negli ultimi cinque anni, più della metà solo nel 2022. Infatti, il furto di asset crittografici costituisce probabilmente una grande percentuale del PIL della Corea del Nord.

Tuttavia, tali sospetti sono puramente congetture.

Quali lezioni possono imparare le aziende da questo incidente?

1. Mantieni tutti i software aggiornati con le ultime patch di sicurezza (questo attacco potrebbe non essere avvenuto se un server Plex fosse stato aggiornato).

2. Non accedere agli account aziendali sensibili dal computer di casa. Se l’ingegnere DevOps sfortunato avesse utilizzato un laptop aziendale con le dovute protezioni (come un software antimalware in grado di rilevare il keylogger), probabilmente l’incidente non si sarebbe aggravato così tanto.

3. Nessun sistema di sicurezza, per quanto ben congegnato, dovrebbe mai essere considerato sicuro al 100%. Fortunatamente, LastPass utilizza la crittografia a zero accesso, altrimenti la situazione già grave avrebbe potuto essere molto peggiore. Una rigorosa crittografia a zero accesso(nuova finestra) rimane il miglior modo per le aziende di proteggere i dati.

Cosa avrebbe dovuto fare meglio LastPass

LastPass aveva implementato dei controlli compensativi, ma ci sono molte aree in cui avrebbe potuto fare di meglio.

1. Costruire sistemi progettati per far fronte allo scenario peggiore. Probabilmente LastPass non aveva incluso attori statali malintenzionati nel suo modello di minaccia. È vero che progettare un sistema di sicurezza che sia sia utilizzabile che resistente a tali minacce è molto difficile, ma data la natura estremamente sensibile delle informazioni che il servizio era specificamente incaricato di proteggere, LastPass non è riuscito chiaramente a indirizzare adeguatamente il suo modello di minaccia.

2. Utilizzare un algoritmo di hashing più moderno per proteggere i vault delle password degli utenti. LastPass utilizzava PBKDF2(nuova finestra), che è stato ora superato da algoritmi più all’avanguardia come bcrypt(nuova finestra) e Argon2(nuova finestra). PBKDF2 è relativamente facile da forzare(nuova finestra) rispetto a queste alternative più moderne, il che significa che anche se i database delle password degli utenti erano crittografati, questa mancanza crittografica rende i database delle password significativamente più facili da decifrare.

3. Crittografa tutti i dati. LastPass crittografa i dati che considera altamente sensibili, ma lascia anche una discreta quantità di dati non crittografati. Informazioni apparentemente innocue (come gli URL salvati, che non sono crittografati da LastPass) possono essere utilizzate per dedurre informazioni molto dettagliate su di te.

Ad esempio, se un attaccante può vedere che hai password salvate per un account con Grindr, gop.com o anche un sito fan di Manga, sapranno molto su di te come persona, anche se non possono effettivamente accedere all’account. Queste informazioni possono essere molto dannose di per sé, ma possono anche permettere agli hacker di compromettere le tue password utilizzando un attacco phishing altamente personalizzato.

4. Comunicare meglio con i suoi utenti. LastPass ha atteso il giovedì prima di Natale per rivelare in modo discreto che l’hack subito era molto più grave, e ulteriori rivelazioni ancora più dannose non sono state divulgate fino a mesi dopo. Questo ha portato a una notevole reazione negativa(nuova finestra) all’interno della comunità LastPass.

Cosa posso fare personalmente per proteggermi?

In generale, se sei un utente LastPass, ti suggeriamo di aggiornare e cambiare tutte le tue password. A causa della debole crittografia utilizzata, e del fatto che l’attaccante ora ha tempo illimitato per forzare il tuo database delle password, dovresti presumere che prima o poi il tuo database delle password possa essere decifrato; se non ora, in futuro quando ci saranno computer ancora più potenti.

Andando avanti, puoi mitigare questo rischio utilizzando password più forti, in particolare per la password principale di un gestore di password.

O ancora meglio, usa una frase segretaPass. Il tuo gestore di password è ottimo per ricordare password complesse come p@*(aF296Bu%, ma il cervello umano non è progettato in questo modo e devi memorizzare la tua password principale per accedere in modo sicuro al resto delle tue password generate dal computer.

Una passphrase, che consiste in più parole effettive, è molto più sicura di qualsiasi singola password che il cervello umano è propenso a ricordare. Diceware(nuova finestra) è un ottimo metodo per generare passphrase veramente sicure ma facili da ricordare.

Considerazioni finali

In poche parole, la sicurezza è complessa. Dal lato difensivo, devi proteggerti da tutte le possibili intrusioni, mentre l’attaccante deve solo trovare un’unica falla. Questa è un’asimmetria che tende a favorire l’attaccante.

La migliore difesa è avere una forte cultura della sicurezza, dove diventa una parte completamente integrata del DNA dell’azienda. Sfortunatamente, molte delle aziende odierne responsabili della protezione di dati molto sensibili, non sono aziende orientate prima di tutto alla sicurezza e alla privacy, e sono quindi più suscettibili a violazioni di dati.

Anche la crittografia è difficile e farla in modo costantemente corretto richiede anni di esperienza e competenza dedicata, che molte aziende semplicemente non hanno. La trasparenza avrebbe potuto aiutare anche in questo; se LastPass fosse stato open source, forse alcune delle sue debolezze crittografiche avrebbero potuto essere scoperte e corrette in anticipo. Per queste ragioni, sarà difficile fidarsi di LastPass (o di qualsiasi altro gestore di password, per quello che conta), che non è open source.

I gestori di password sono sempre più importanti per gli utenti di internet oggi, e ora più che mai, è fondamentale che le aziende tecnologiche li realizzino correttamente.

Articoli correlati

A cover image for a blog describing the next six months of Proton Pass development which shows a laptop screen with a Gantt chart
en
  • Aggiornamenti dei prodotti
  • Proton Pass
Take a look at the upcoming features and improvements coming to Proton Pass over the next several months.
The Danish mermaid and the Dutch parliament building behind a politician and an unlocked phone
en
We searched the dark web for Danish, Dutch, and Luxembourgish politicians’ official email addresses. In Denmark, over 40% had been exposed.
Infostealers: What they are, how they work, and how to protect yourself
en
Discover insights about what infostealers are, where your stolen information goes, and ways to protect yourself.
Mockup of the Proton Pass app and text that reads "Pass Lifetime: Pay once, access forever"
en
Learn more about our exclusive Pass + SimpleLogin Lifetime offer. Pay once and enjoy premium password manager features for life.
A cover image for a blog announcing that Pass Plus will now include premium SimpleLogin features
en
We're changing the price of new Pass Plus subscriptions, which now includes access to SimpleLogin premium features.
Infinity symbol in purple with the words "Call for submissions" and "Proton Lifetime Fundraiser 7th Edition"
en
It’s time to choose the organizations we should support for the 2024 edition of our annual charity fundraiser.