lastpass-hack-update-user-vault-data-and-information-stolen

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Rispondi
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12443
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da crazy.cat »

Manca però il consiglio di non utilizzare più lastpass come gestore delle password :twisted:
https://www.ghacks.net/2022/12/23/lastp ... on-stolen/
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da System » ven dic 23, 2022 8:20 am


Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da leofelix »

Lo avevo letto ieri su https://www.bleepingcomputer.com/news/s ... ge-breach/
Già ad agosto dei malintenzionati avevano avuto accesso all'account di uno degli sviluppatori da lì all'ambiente di sviluppo, quindi avevano rubato le chiavi per decifrare le password criptate.
Ad agosto LastPass aveva minimizzato sostenendo che sarebbe stato impossibile decifrare quei dati e che solo delle informazioni di alcuni clienti erano trapelate.
Non sapevano delle chiavi trafugate.

Certo, uno sviluppatore di un software di sicurezza che si fa rubare l'account fa pensare. Anche se incidenti del genere possono succedere a chiunque.
Non mi è chiaro se hanno violato anche l'autenticatore fornito da LastPass stesso, probabilmente si se sono riusciti a superare anche l'autenticazione a due fattori.
LastPass ha almeno invalidato le chiavi di decriptazione.

E in totale, mi sembra di ricordare che LastPass è alla quinta violazione dati negli ultimi anni.

Gli ideatori di Bitwarden inizialmente lavoravano proprio per LastPass, lasciarono perché ritenevano inefficace la politica di LastPass.
Difatti Bitwarden è open source e il Cloud non è nel loro sito.
Io con la versione freeware mi trovo benissimo, posso cambiare email di accesso quando voglio e anche generare una nuova key.
Uso un autenticatore di terzi freeware e open source (inizialmente mi facevo inviare i codici OTP via email, poi ho usato Microsoft autenticatore che però è invasivo e non è open source).

Chi ha paura del Cloud non dimentichi che OneDrive, Dropbox, iCloud e Google drive sono nel Cloud ma possono sempre passare a sticky password che offre l'opzione di sincronizzare i dati via Wi-Fi senza mai lasciare le device.
Solo nella versione premium però che costa un botto, ci sono però numerosi giveaway.
Altrimenti c'è sempre KeePass che però non si può sincronizzare.
Avanti è la vita
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12443
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da crazy.cat »

leofelix ha scritto: ven dic 23, 2022 2:02 pm E in totale, mi sembra di ricordare che LastPass è alla quinta violazione dati negli ultimi anni.
Direi che è questa la cosa più grave.
Come fai ad affidare le tue password a un sistema che ha più buchi di un cratere lunare?
Immagine
Immagine
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 3931
Iscritto il: lun gen 26, 2015 10:13 am

Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da CUB3 »

crazy.cat ha scritto: ven dic 23, 2022 8:20 am Manca però il consiglio di non utilizzare più lastpass come gestore delle password :twisted:
https://www.ghacks.net/2022/12/23/lastp ... on-stolen/
Ad onor del vero, Martin aveva già suggerito di passare a Bitwarden nel 2021 per le limitazioni imposte agli utenti free :fiu
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da leofelix »

Vado off topic, pardon.
Nel primo pomeriggio avevo consultato Ghacks dal tablet e mi era apparsa la finestrella del consenso dei cookie di Softonic.
Mi sono detto "Sicuramente è la mia vista che è peggiorata".
E invece
Immagine

Che c'entra Softonic con Ghacks?

/fine OT
Avanti è la vita
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 3931
Iscritto il: lun gen 26, 2015 10:13 am

Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da CUB3 »

"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da leofelix »

CUB3 ha scritto: sab dic 24, 2022 5:17 pm Ghacks.net è stato acquistato da Softonic nel 2019 :bisbiglio

Grazie, lo ignoravo.

Per il resto
ORRORE!
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da leofelix »

Stavo pensando che anche Dropbox non è messo bene.
Da qualche tempo hanno anche il loro gestore di password (solo per chi ha Dropbox a pagamento).
https://www.bleepingcomputer.com/news/s ... ositories/

Ecco, a ottobre c.a un attore ha avuto accesso alle credenziali GitHub di uno dei loro sviluppatori, ha quindi sferrato un attacco phishing ad altri sviluppatori (un attacco ben congeniato) andato a buon fine.
Poi hanno rubato il codice da 130 repository, lo hanno leggermente modificato e tanti saluti.
Fortunatamente GitHub aveva notato movimenti sospetti e aveva allertato Dropbox che però solo a novembre si è accorta che ormai il danno era stato fatto.

Dropbox era già stato oggetto di un data breach anni addietro.

Pensare che mesi fa avevo registrato un account free per poi - grazie al cielo ™- eliminarlo.
Non avevo caricato niente e avevo usato un alias per la registrazione.

Per rimanere in tema, ieri ho provato Avira password manager che nella versione free lascia usare account illimitati e offre anche la possibilità di sincronizzare tra più dispositivi.
Però per l'autenticazione a due fattori vogliono il numero di cellulare e i codici li mandano via SMS.
Pessima idea.
Ho eliminato al volo l'account.
Tra i gestori di password gratuiti dubito ci sia qualcosa che possa competere con Bitwarden.
Avanti è la vita
Avatar utente
speedyant
VIP
VIP
Messaggi: 1743
Iscritto il: lun gen 13, 2014 4:56 pm
Località: Torino

Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da speedyant »

Cosa ti ha fatto di male dropbox! :D
Il tecnico pietoso fa il pc casinoso...
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da leofelix »

speedyant ha scritto: mer dic 28, 2022 3:03 pm Cosa ti ha fatto di male dropbox! :D
Fortunatamente nulla, nisba, nothing, rien, nada de nada.
Se dovessi farmela sotto per ogni data beach o qualche vulnerabilità 0 day staccherei direttamente internet e getterei PC, tablet e smartphone pur consapevole che anche così i miei dati li hanno già enti pubblici e privati, il mio medico, il supermercato, il negozio di informatica dove mi servo etc e li conservano nei loro sistemi che pure possono essere soggetti a violazioni .
Avanti è la vita
Avatar utente
speedyant
VIP
VIP
Messaggi: 1743
Iscritto il: lun gen 13, 2014 4:56 pm
Località: Torino

Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da speedyant »

Avevo capito esattamente l'opposto. :)
Il tecnico pietoso fa il pc casinoso...
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da leofelix »

speedyant ha scritto: mer dic 28, 2022 4:27 pm Avevo capito esattamente l'opposto. :)
"Non ho sentito, voi avete sentito?"

Immagine
Avanti è la vita
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12443
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da crazy.cat »

“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da leofelix »

crazy.cat ha scritto: ven dic 30, 2022 5:52 pm Un massacro più o meno
Le accuse sono piuttosto gravi, l'autore tuttavia fa riferimento a questo articolo dove si spiega come è possibile che anche una password di 12 caratteri (per me sempre troppo pochi - n.d.r) possa essere violata se creata da un essere umano.
Nel 2018 LastPass aveva forzato i nuovi utenti a usare una master password di almeno 12 caratteri.
https://blog.1password.com/not-in-a-million-years/

Quello che mi fa specie è che i suddetti utenti non abbiano mai cambiato password nel frattempo. Anche se l'autenticazione a due fattori è una misura in più per proteggere gli account non è garanzia assoluta di non essere violati.
Altra cosa che mi lasciò già stupito riguardo all'incidente di agosto è che comunque, stando a LastPass, dei dati personali di alcuni utenti erano comunque trapelati e come, allora, se non avendo accesso ai loro "Vault" (Casseforti)?

[edit to add] Questo riferimento mi era sfuggito
https://infosec.exchange/@epixoip/109585049354200263

Così come il numero di incidenti (nessuno dei quali dovuto al cloud)
https://en.wikipedia.org/wiki/LastPass# ... _incidents


Se devo essere sincero
è proprio a causa degli articoli di tale Ashwin, poco curati, fuorvianti, allarmistici e spesso banali, a mio avviso che ho smesso di seguire Ghacks
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da leofelix »

Non mi posso dare pace.
Stavo leggendo i commenti al suddetto articolo su ghacks e c'è anche quello di Wladimir Palant (il creatore di Adblock Plus) che pur complimentandosi fa notare all'autore che né lui né Jeffrey Goldberg hanno mai detto che il problema è la resistenza agli attacchi di forza bruta delle password e gli chiede di correggere il link che dovrebbe portare al suo blog e che invece punta all'annuncio della violazione dati di LastPass.

Quel che è stato criticato dagli "esperti" è la leggerezza con cui la società di LastPass tratta la sicurezza arrivando persino a ignorare le vulnerabilità trovate o a correggerle con tempi troppo lunghi.
Da quanto ho capito i dati trapelati erano in una copia di backup su un server di terzi e non era nemmeno criptata in transito e l'incidente di agosto è solo l'inizio di quello poi scoperto a dicembre.

Lo stesso autore scrive che aveva cancellato il proprio account di LastPass anni addietro e ciononostante aveva ricevuto la lettera con l'annuncio da parte della società del popolare gestore di password.
Rassicura inoltre che lui usava LastPass solo per account di scarsa importanza :-P (che significa?)
Be', io al suo posto avrei cancellato anche il contenuto del vault, so bene che non sono poche le società che continuano a conservare dati personali anche dopo la cancellazione degli account e qualcuna di esse li aveva anche lasciati su server incustoditi .

Mi ero letto anche l'articolo di Palant ma anche lui ammette di non avere bene chiari alcuni aspetti.
Avanti è la vita
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: lastpass-hack-update-user-vault-data-and-information-stolen

Messaggio da System » sab dic 31, 2022 2:21 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio