Discussione Articolo LastPass è stata hackerata: rubati i vault criptati degli utenti

Stato
Discussione chiusa ad ulteriori risposte.

0xbro

Super Moderatore
24 Febbraio 2017
4,464
179
3,757
1,825
Nelle ultime ore è circolata la notizia che LastPass, uno dei prodotti di password managing più usati al mondo, è stata hackerata. Di seguito i dettagli ad ora noti:

LastPass-Logo-Color.png

LastPass è stata hackerata, ma al momento non ci sono grossi danni​

Durante delle analisi di review, due settimane fa sono stati identificati degli accessi non autorizzati all'ambiente di sviluppo di LastPass (come riportato anche nel comunicato ufficiale). Da quanto emerso gli attaccanti hanno avuto accesso a porizioni dell'ambiente di sviluppo tramite un singolo account di uno sviluppatore, compromesso in precedenza. Tramite questo account è stato ottenuto accesso a porizioni di codice sorgente dell'applicativo e ad alcune informazioni tecniche proprietarie di LastPass, però non è stato iniettato codice malevolo nè sono state eseguite azioni distruttive.



Vedi: https://twitter.com/LastPass/status/1562864726840725504?s=20&t=t0TVz1OIqn-TdasVH3Ip6w


In risposta all'incidente, l'azienda ha messo in atto misure di contenimento e mitigazione e sta implementando ulteriori misure di sicurezza avanzate oltre a dettagliate analisi forensi.

Il team di LastPass rassicura così i propri clienti:​

"Tramite questo attacco non è stata compromesso nessuna Master Password. LastPass Non memorizzia né viene a conoscenza in nessun modo della Master Password di un utente. Utilizziamo un'architettura Zero Knowledge, standard del settore, che garantisce a LastPass di non conoscere mai o accedere in alcun modo alla Master Password dei nostri clienti. Potete leggere qui l'implementazione tecnica di Zero Knowledge"​

Per il momento, insomma, sembra che nessun dato personale sia stato rubato, ma la conferma arriverà nei prossimi giorni a seguito delle analisi forensi attualmente in corso. Il team di LastPass conferma che ulteriori dettagli verranno comunque condivisi da parte del team nelle prossime settimane, con la dovuta trasparenza che i propri utenti meritano.​


Made with ❤ for Inforge

 
E' passato parecchio tempo da questa news, ma a quanto pare la situazione è peggiorata DRASTICAMENTE. Da quanto è trapelato online, a quanto pare gli attaccanti che hanno preso di mira LastPass "sono riusciti a copiare un backup dei vari vault dei clienti".

L'azienda sostiene che siate al sicuro nel caso usiate una master password robusta e le impostazioni predefinite più recenti. Tuttavia, se si dispone di una password principale debole o meno sicura, l'azienda afferma che "come misura di sicurezza aggiuntiva, si dovrebbe prendere in considerazione la possibilità di ridurre al minimo il rischio cambiando le password dei siti web memorizzati".

Insomma, tira una brutta aria in casa LastPass, vi lascio di seguito il link all'articolo completo:

Consiglio a chiunque utilizzi questo servizio, comunque, di valutare di cambiare tutte le proprie password (e magari cambiare anche password manager) :)
A Natale siamo tutti più buoni, tranne i cracker, loro non lo sono mai
 
  • Mi piace
Reazioni: LinuxUser
AGGIORNAMENTI
LastPass
ha rivelato ulteriori informazioni su come gli hacker sono entrati in possesso dei dati rubati. Infatti il tutto è partito da un'altra violazione di dati che ha permesso l'esecuzione di un keylogger sul computer di un ingegnere DevOps dell'azienda.
Tramite le credenziali rubate gli hacker hanno avuto accesso ai server Amazon S3 crittografati dell'azienda.

Poiché solo quattro ingegneri di LastPass DevOps avevano accesso a queste chiavi di decrittazione, l'autore della minaccia ha preso di mira uno degli ingegneri. Alla fine, gli hacker hanno installato con successo un keylogger sul dispositivo del dipendente sfruttando una vulnerabilità di esecuzione di codice in modalità remota in un pacchetto software multimediale di terze parti.
L'autore della minaccia ha quindi esportato le voci del vault aziendale nativo e il contenuto delle cartelle condivise, che contenevano note sicure crittografate con chiavi di accesso e decrittografia necessarie per accedere ai backup di produzione AWS S3 di LastPass, ad altre risorse di archiviazione basate su cloud e ad alcuni backup di database critici correlati.
L'uso di credenziali valide ha reso difficile per gli investigatori dell'azienda rilevare l'attività dell'autore della minaccia, consentendo all'hacker di accedere e rubare dati dai server di archiviazione cloud di LastPass per oltre due mesi, tra il 12 agosto 2022 e il 26 ottobre 2022.

La società afferma di aver aggiornato la propria posizione di sicurezza, inclusa la rotazione di credenziali sensibili e chiavi/token di autenticazione, la revoca di certificati, l'aggiunta di ulteriori registrazioni e avvisi e l'applicazione di politiche di sicurezza più rigorose.

LastPass ha rilasciato inoltre il resoconto dei dati rubati nelle due violazioni subite:

Riepilogo dei dati consultati nell'Incidente 1:

  • Sviluppo on-demand basato su cloud e repository di codice sorgente : includeva 14 repository di software su 200.

  • Script interni dai repository : contenevano segreti e certificati LastPass.

  • Documentazione interna : informazioni tecniche che descrivono il funzionamento dell'ambiente di sviluppo.
Riepilogo dei dati consultati nell'Incidente 2:

  • Segreti DevOps : segreti riservati utilizzati per ottenere l'accesso al nostro archivio di backup basato su cloud.

  • Archiviazione di backup basata su cloud : conteneva dati di configurazione, segreti API, segreti di integrazione di terze parti, metadati del cliente e backup di tutti i dati del vault del cliente. Tutti i dati sensibili del caveau del cliente, diversi dagli URL, i percorsi dei file del software LastPass Windows o macOS installato e alcuni casi d'uso che coinvolgono gli indirizzi e-mail, sono stati crittografati utilizzando il nostro modello di conoscenza zero e possono essere decrittografati solo con una chiave di crittografia univoca derivata dal master di ciascun utente parola d'ordine. Come promemoria, le password principali dell'utente finale non sono mai note a LastPass e non sono archiviate o gestite da LastPass, pertanto non sono state incluse nei dati esfiltrati.

  • Backup del database LastPass MFA/Federation : conteneva copie dei semi di LastPass Authenticator, numeri di telefono utilizzati per l'opzione di backup MFA (se abilitata), nonché un componente di conoscenza suddiviso (la "chiave" K2) utilizzato per la federazione LastPass (se abilitata) . Questo database è stato crittografato, ma la chiave di decrittazione archiviata separatamente è stata inclusa nei segreti rubati dall'autore della minaccia durante il secondo incidente.
LastPass ha rilasciato un PDF intitolato "Aggiornamento degli incidenti di sicurezza e azioni consigliate", che contiene ulteriori informazioni sulla violazione e sui dati rubati.

L'azienda ha inoltre creato documenti di supporto contenenti le azioni consigliate da intraprendere per i clienti Free, Premium e Families e gli amministratori LastPass Business.

 
  • Mi piace
Reazioni: 0xbro
AGGIORNAMENTI
LastPass
ha rivelato ulteriori informazioni su come gli hacker sono entrati in possesso dei dati rubati. Infatti il tutto è partito da un'altra violazione di dati che ha permesso l'esecuzione di un keylogger sul computer di un ingegnere DevOps dell'azienda.
Tramite le credenziali rubate gli hacker hanno avuto accesso ai server Amazon S3 crittografati dell'azienda.

Poiché solo quattro ingegneri di LastPass DevOps avevano accesso a queste chiavi di decrittazione, l'autore della minaccia ha preso di mira uno degli ingegneri. Alla fine, gli hacker hanno installato con successo un keylogger sul dispositivo del dipendente sfruttando una vulnerabilità di esecuzione di codice in modalità remota in un pacchetto software multimediale di terze parti.
L'autore della minaccia ha quindi esportato le voci del vault aziendale nativo e il contenuto delle cartelle condivise, che contenevano note sicure crittografate con chiavi di accesso e decrittografia necessarie per accedere ai backup di produzione AWS S3 di LastPass, ad altre risorse di archiviazione basate su cloud e ad alcuni backup di database critici correlati.
L'uso di credenziali valide ha reso difficile per gli investigatori dell'azienda rilevare l'attività dell'autore della minaccia, consentendo all'hacker di accedere e rubare dati dai server di archiviazione cloud di LastPass per oltre due mesi, tra il 12 agosto 2022 e il 26 ottobre 2022.

La società afferma di aver aggiornato la propria posizione di sicurezza, inclusa la rotazione di credenziali sensibili e chiavi/token di autenticazione, la revoca di certificati, l'aggiunta di ulteriori registrazioni e avvisi e l'applicazione di politiche di sicurezza più rigorose.

LastPass ha rilasciato inoltre il resoconto dei dati rubati nelle due violazioni subite:

Riepilogo dei dati consultati nell'Incidente 1:

  • Sviluppo on-demand basato su cloud e repository di codice sorgente : includeva 14 repository di software su 200.

  • Script interni dai repository : contenevano segreti e certificati LastPass.

  • Documentazione interna : informazioni tecniche che descrivono il funzionamento dell'ambiente di sviluppo.
Riepilogo dei dati consultati nell'Incidente 2:

  • Segreti DevOps : segreti riservati utilizzati per ottenere l'accesso al nostro archivio di backup basato su cloud.

  • Archiviazione di backup basata su cloud : conteneva dati di configurazione, segreti API, segreti di integrazione di terze parti, metadati del cliente e backup di tutti i dati del vault del cliente. Tutti i dati sensibili del caveau del cliente, diversi dagli URL, i percorsi dei file del software LastPass Windows o macOS installato e alcuni casi d'uso che coinvolgono gli indirizzi e-mail, sono stati crittografati utilizzando il nostro modello di conoscenza zero e possono essere decrittografati solo con una chiave di crittografia univoca derivata dal master di ciascun utente parola d'ordine. Come promemoria, le password principali dell'utente finale non sono mai note a LastPass e non sono archiviate o gestite da LastPass, pertanto non sono state incluse nei dati esfiltrati.

  • Backup del database LastPass MFA/Federation : conteneva copie dei semi di LastPass Authenticator, numeri di telefono utilizzati per l'opzione di backup MFA (se abilitata), nonché un componente di conoscenza suddiviso (la "chiave" K2) utilizzato per la federazione LastPass (se abilitata) . Questo database è stato crittografato, ma la chiave di decrittazione archiviata separatamente è stata inclusa nei segreti rubati dall'autore della minaccia durante il secondo incidente.
LastPass ha rilasciato un PDF intitolato "Aggiornamento degli incidenti di sicurezza e azioni consigliate", che contiene ulteriori informazioni sulla violazione e sui dati rubati.

L'azienda ha inoltre creato documenti di supporto contenenti le azioni consigliate da intraprendere per i clienti Free, Premium e Families e gli amministratori LastPass Business.

Ormai credo proprio che LastPass abbia subito un colpo troppo grosso per riprendersi e tornare competitiva sul mercato... ha inoltre evidenziato delle problematiche troppo grosse, agendo un po' come "cavia" per tutte le altre aziende che offrono servizi simili
 
  • Mi piace
Reazioni: DjCanigia
Ormai credo proprio che LastPass abbia subito un colpo troppo grosso per riprendersi e tornare competitiva sul mercato... ha inoltre evidenziato delle problematiche troppo grosse, agendo un po' come "cavia" per tutte le altre aziende che offrono servizi simili

Sì sono daccordo, ha aperto gli occhi a molti. Non ho mai pensato fosse una grande idea mettere le proprie credenziali su cloud terzi, siano anche cifrate e questo vale anche per il keychain di Apple. Un password manager offline sarà sempre più sicuro, non può essere infallibile ma almeno una falla per essere sfruttata deve avere come presupposto un accesso via malware.
 
  • Mi piace
Reazioni: DjCanigia
Sì sono daccordo, ha aperto gli occhi a molti. Non ho mai pensato fosse una grande idea mettere le proprie credenziali su cloud terzi, siano anche cifrate e questo vale anche per il keychain di Apple. Un password manager offline sarà sempre più sicuro, non può essere infallibile ma almeno una falla per essere sfruttata deve avere come presupposto un accesso via malware.
Certo, però c'è anche da dire che questi "Ingegneri" (in generale, visto il caso di activision e compagnia) forse non sono poi cosi "ingegneri" se si fanno fregare da un keylogger, o phishing...
 
  • Mi piace
Reazioni: Conti
Certo, però c'è anche da dire che questi "Ingegneri" (in generale, visto il caso di activision e compagnia) forse non sono poi cosi "ingegneri" se si fanno fregare da un keylogger, o phishing...

La penso all'esatto opposto, se quello che dice l'azienda è vero, quoto l'articolo di sopra:

Ultimately, the hackers successfully installed a keylogger on the employee's device by exploiting a remote code execution vulnerability in a third-party media software package.

Dici che non ti saresti mai fatto fregare da un keylogger installato sfruttando una vulnerabilità di questo tipo? Penso che potrebbe succedere a chiunque quando presi di mira in questo modo.
 
  • Mi piace
Reazioni: --- Ra ---
Certo, però c'è anche da dire che questi "Ingegneri" (in generale, visto il caso di activision e compagnia) forse non sono poi cosi "ingegneri" se si fanno fregare da un keylogger, o phishing...
A tutti capita un momento di stanchezza, debolezza, o disattenzione...

Come disse il CEO di Cisco: “There are two types of companies: those that have been hacked, and those who don't know they have been hacked
 
  • Geniale
Reazioni: 0xbro
Stato
Discussione chiusa ad ulteriori risposte.