https://www.ghacks.net/2022/12/23/lastp ... on-stolen/
lastpass-hack-update-user-vault-data-and-information-stolen
Regole del forum
- crazy.cat
- Amministratore
- Messaggi: 12500
- Iscritto il: mer mag 01, 2013 4:02 pm
- Località: Noventa Padovana
- Contatta:
lastpass-hack-update-user-vault-data-and-information-stolen
https://www.ghacks.net/2022/12/23/lastp ... on-stolen/
Re: lastpass-hack-update-user-vault-data-and-information-stolen
Già ad agosto dei malintenzionati avevano avuto accesso all'account di uno degli sviluppatori da lì all'ambiente di sviluppo, quindi avevano rubato le chiavi per decifrare le password criptate.
Ad agosto LastPass aveva minimizzato sostenendo che sarebbe stato impossibile decifrare quei dati e che solo delle informazioni di alcuni clienti erano trapelate.
Non sapevano delle chiavi trafugate.
Certo, uno sviluppatore di un software di sicurezza che si fa rubare l'account fa pensare. Anche se incidenti del genere possono succedere a chiunque.
Non mi è chiaro se hanno violato anche l'autenticatore fornito da LastPass stesso, probabilmente si se sono riusciti a superare anche l'autenticazione a due fattori.
LastPass ha almeno invalidato le chiavi di decriptazione.
E in totale, mi sembra di ricordare che LastPass è alla quinta violazione dati negli ultimi anni.
Gli ideatori di Bitwarden inizialmente lavoravano proprio per LastPass, lasciarono perché ritenevano inefficace la politica di LastPass.
Difatti Bitwarden è open source e il Cloud non è nel loro sito.
Io con la versione freeware mi trovo benissimo, posso cambiare email di accesso quando voglio e anche generare una nuova key.
Uso un autenticatore di terzi freeware e open source (inizialmente mi facevo inviare i codici OTP via email, poi ho usato Microsoft autenticatore che però è invasivo e non è open source).
Chi ha paura del Cloud non dimentichi che OneDrive, Dropbox, iCloud e Google drive sono nel Cloud ma possono sempre passare a sticky password che offre l'opzione di sincronizzare i dati via Wi-Fi senza mai lasciare le device.
Solo nella versione premium però che costa un botto, ci sono però numerosi giveaway.
Altrimenti c'è sempre KeePass che però non si può sincronizzare.
- crazy.cat
- Amministratore
- Messaggi: 12500
- Iscritto il: mer mag 01, 2013 4:02 pm
- Località: Noventa Padovana
- Contatta:
Re: lastpass-hack-update-user-vault-data-and-information-stolen
Direi che è questa la cosa più grave.
Come fai ad affidare le tue password a un sistema che ha più buchi di un cratere lunare?
Re: lastpass-hack-update-user-vault-data-and-information-stolen
Ad onor del vero, Martin aveva già suggerito di passare a Bitwarden nel 2021 per le limitazioni imposte agli utenti freecrazy.cat ha scritto: ↑ven dic 23, 2022 8:20 am Manca però il consiglio di non utilizzare più lastpass come gestore delle password
https://www.ghacks.net/2022/12/23/lastp ... on-stolen/
Re: lastpass-hack-update-user-vault-data-and-information-stolen
Nel primo pomeriggio avevo consultato Ghacks dal tablet e mi era apparsa la finestrella del consenso dei cookie di Softonic.
Mi sono detto "Sicuramente è la mia vista che è peggiorata".
E invece
Che c'entra Softonic con Ghacks?
/fine OT
Re: lastpass-hack-update-user-vault-data-and-information-stolen
Re: lastpass-hack-update-user-vault-data-and-information-stolen
Grazie, lo ignoravo.
Per il resto
ORRORE!
Re: lastpass-hack-update-user-vault-data-and-information-stolen
Da qualche tempo hanno anche il loro gestore di password (solo per chi ha Dropbox a pagamento).
https://www.bleepingcomputer.com/news/s ... ositories/
Ecco, a ottobre c.a un attore ha avuto accesso alle credenziali GitHub di uno dei loro sviluppatori, ha quindi sferrato un attacco phishing ad altri sviluppatori (un attacco ben congeniato) andato a buon fine.
Poi hanno rubato il codice da 130 repository, lo hanno leggermente modificato e tanti saluti.
Fortunatamente GitHub aveva notato movimenti sospetti e aveva allertato Dropbox che però solo a novembre si è accorta che ormai il danno era stato fatto.
Dropbox era già stato oggetto di un data breach anni addietro.
Pensare che mesi fa avevo registrato un account free per poi - grazie al cielo ™- eliminarlo.
Non avevo caricato niente e avevo usato un alias per la registrazione.
Per rimanere in tema, ieri ho provato Avira password manager che nella versione free lascia usare account illimitati e offre anche la possibilità di sincronizzare tra più dispositivi.
Però per l'autenticazione a due fattori vogliono il numero di cellulare e i codici li mandano via SMS.
Pessima idea.
Ho eliminato al volo l'account.
Tra i gestori di password gratuiti dubito ci sia qualcosa che possa competere con Bitwarden.
Re: lastpass-hack-update-user-vault-data-and-information-stolen
Re: lastpass-hack-update-user-vault-data-and-information-stolen
Fortunatamente nulla, nisba, nothing, rien, nada de nada.
Se dovessi farmela sotto per ogni data beach o qualche vulnerabilità 0 day staccherei direttamente internet e getterei PC, tablet e smartphone pur consapevole che anche così i miei dati li hanno già enti pubblici e privati, il mio medico, il supermercato, il negozio di informatica dove mi servo etc e li conservano nei loro sistemi che pure possono essere soggetti a violazioni .
Re: lastpass-hack-update-user-vault-data-and-information-stolen
Re: lastpass-hack-update-user-vault-data-and-information-stolen
- crazy.cat
- Amministratore
- Messaggi: 12500
- Iscritto il: mer mag 01, 2013 4:02 pm
- Località: Noventa Padovana
- Contatta:
Re: lastpass-hack-update-user-vault-data-and-information-stolen
https://www.ghacks.net/2022/12/30/secur ... rd-vaults/
Re: lastpass-hack-update-user-vault-data-and-information-stolen
Le accuse sono piuttosto gravi, l'autore tuttavia fa riferimento a questo articolo dove si spiega come è possibile che anche una password di 12 caratteri (per me sempre troppo pochi - n.d.r) possa essere violata se creata da un essere umano.
Nel 2018 LastPass aveva forzato i nuovi utenti a usare una master password di almeno 12 caratteri.
https://blog.1password.com/not-in-a-million-years/
Quello che mi fa specie è che i suddetti utenti non abbiano mai cambiato password nel frattempo. Anche se l'autenticazione a due fattori è una misura in più per proteggere gli account non è garanzia assoluta di non essere violati.
Altra cosa che mi lasciò già stupito riguardo all'incidente di agosto è che comunque, stando a LastPass, dei dati personali di alcuni utenti erano comunque trapelati e come, allora, se non avendo accesso ai loro "Vault" (Casseforti)?
[edit to add] Questo riferimento mi era sfuggito
https://infosec.exchange/@epixoip/109585049354200263
Così come il numero di incidenti (nessuno dei quali dovuto al cloud)
https://en.wikipedia.org/wiki/LastPass# ... _incidents
Se devo essere sincero
è proprio a causa degli articoli di tale Ashwin, poco curati, fuorvianti, allarmistici e spesso banali, a mio avviso che ho smesso di seguire Ghacks
Re: lastpass-hack-update-user-vault-data-and-information-stolen
Stavo leggendo i commenti al suddetto articolo su ghacks e c'è anche quello di Wladimir Palant (il creatore di Adblock Plus) che pur complimentandosi fa notare all'autore che né lui né Jeffrey Goldberg hanno mai detto che il problema è la resistenza agli attacchi di forza bruta delle password e gli chiede di correggere il link che dovrebbe portare al suo blog e che invece punta all'annuncio della violazione dati di LastPass.
Quel che è stato criticato dagli "esperti" è la leggerezza con cui la società di LastPass tratta la sicurezza arrivando persino a ignorare le vulnerabilità trovate o a correggerle con tempi troppo lunghi.
Da quanto ho capito i dati trapelati erano in una copia di backup su un server di terzi e non era nemmeno criptata in transito e l'incidente di agosto è solo l'inizio di quello poi scoperto a dicembre.
Lo stesso autore scrive che aveva cancellato il proprio account di LastPass anni addietro e ciononostante aveva ricevuto la lettera con l'annuncio da parte della società del popolare gestore di password.
Rassicura inoltre che lui usava LastPass solo per account di scarsa importanza (che significa?)
Be', io al suo posto avrei cancellato anche il contenuto del vault, so bene che non sono poche le società che continuano a conservare dati personali anche dopo la cancellazione degli account e qualcuna di esse li aveva anche lasciati su server incustoditi .
Mi ero letto anche l'articolo di Palant ma anche lui ammette di non avere bene chiari alcuni aspetti.
-
- Argomenti simili
- Risposte
- Visite
- Ultimo messaggio
-
- 3 Risposte
- 1162 Visite
-
Ultimo messaggio da crazy.cat
-
- 8 Risposte
- 1170 Visite
-
Ultimo messaggio da Janez
-
- 0 Risposte
- 1084 Visite
-
Ultimo messaggio da crazy.cat
-
- 21 Risposte
- 4379 Visite
-
Ultimo messaggio da cippico
-
- 14 Risposte
- 2559 Visite
-
Ultimo messaggio da tekmanfixer777