Alcuni dei migliori gestori di password capiscono perfettamente il loro ruolo: una maggiore comodità per gli utenti senza compromettere la loro sicurezza. LastPass era annoverato tra i migliori fino a poco tempo fa, ma una serie di incidenti di sicurezza gli ha tolto credibilità e reputazione. Come se non bastasse, ora è venuto alla luce un altro incidente di sicurezza che ha coinvolto il computer di casa di un dipendente senior e le credenziali di Plex.
LastPass ha pubblicato un aggiornamento sulle sue indagini relative a un paio di incidenti di sicurezza verificatisi lo scorso anno, che sembrano più gravi di quanto si pensasse. A quanto pare, gli hacker coinvolti in questi incidenti si sono infiltrati anche nel computer di casa di un ingegnere DevOps dell’azienda sfruttando un pacchetto software multimediale di terze parti. Hanno impiantato un keylogger nel software, che hanno poi utilizzato per catturare la password principale dell’ingegnere per un account con accesso al caveau aziendale LastPass. Dopo essere entrati, hanno esportato le voci del caveau e le cartelle condivise che contenevano le chiavi di decrittazione necessarie per sbloccare i bucket Amazon S3 basati su cloud con i backup del caveau dei clienti.
Quest’ultimo aggiornamento dell’indagine di LastPass ci fornisce un quadro più chiaro di come i due episodi di violazione della sicurezza verificatisi l’anno scorso fossero collegati tra loro. Se ricordate, nell’agosto del 2022 LastPass ha rivelato che una “parte non autorizzata” si era introdotta nel suo sistema. Mentre il primo incidente si è concluso il 12 agosto, l’azienda ha dichiarato nel suo nuovo annuncio che i criminali informatici della minaccia erano “attivamente impegnati in una nuova serie di attività di ricognizione, enumerazione ed esfiltrazione allineate all’ambiente di archiviazione cloud che vanno dal 12 agosto 2022 al 26 ottobre 2022”.
Quando l’azienda ha annunciato la seconda violazione della sicurezza a dicembre, ha dichiarato che i malintenzionati hanno utilizzato le informazioni ottenute dal primo incidente per accedere al suo servizio cloud. Ha inoltre ammesso che gli hacker sono riusciti a portare via una serie di informazioni sensibili, tra cui i suoi bucket Amazon S3. Per poter accedere ai dati salvati in quei bucket, gli hacker avevano bisogno di chiavi di decrittazione salvate in “un insieme altamente limitato di cartelle condivise in un vault del gestore di password LastPass”. Ecco perché i malintenzionati hanno preso di mira uno dei quattro ingegneri DevOps che avevano accesso alle chiavi necessarie per sbloccare il cloud storage dell’azienda.
In un documento di supporto rilasciato dall’azienda e emerso grazie al sito web BleepingComputer, l’azienda ha dettagliato i dati a cui hanno avuto accesso i cybercriminali durante i due incidenti. A quanto pare, i backup basati sul cloud a cui si è avuto accesso durante la seconda violazione includevano “segreti API, segreti di integrazione di terze parti, metadati dei clienti e backup di tutti i dati del caveau dei clienti”. L’azienda ha insistito sul fatto che tutti i dati sensibili del caveau dei clienti, a parte alcune eccezioni, “possono essere decifrati solo con una chiave di crittografia unica derivata dalla password principale di ciascun utente”. L’azienda ha aggiunto che non memorizza le password principali degli utenti. LastPass ha inoltre illustrato le misure adottate per rafforzare le proprie difese in futuro, tra cui la revisione del rilevamento delle minacce e lo stanziamento di “milioni di dollari per migliorare i propri investimenti nella sicurezza attraverso le persone, i processi e la tecnologia”.
