L’attacco informatico a LastPass dello scorso mese di agosto sembra essere più grave di come era stato descritto inizialmente: l’azienda del password manager ha infatti ammesso che la violazione di dati ha interessato anche gli archivi contenenti le credenziali degli utenti. Sebbene le master password per l’accesso a questi archivi sono criptate, quelle più semplici sono ora esposte ad attacchi di tipo brute force.
Come sottolinea la stessa LastPass, le regole imposte agli utenti per la creazione delle master password di accesso agli archivi criptati fanno sì che un attaccante impiegherebbe “milioni di anni” per craccarle con la tecnica del brute force. Ma se finora abbiamo utilizzato il password manager per memorizzare le nostre credenziali di accesso ai vari servizi online, è comunque importante cambiare subito la chiave di accesso al nostro caveau digitale e aggiornare anche tutte le password memorizzate al suo interno.
Indice degli argomenti
L’attacco a LastPass è molto grave
Al momento della violazione, lo scorso mese di agosto, LastPass aveva dichiarato in un post sul blog aziendale che le indagini iniziali avevano confermato l’accesso di un attaccante all’ambiente di sviluppo, ma che, al contempo, non c’era alcuna prova che questo incidente avesse comportato l’accesso ai dati dei clienti o agli archivi delle password.
Successivamente, LastPass ha pubblicato altri aggiornamenti su quanto accaduto, fino all’ultimo post dello scorso 22 dicembre in cui ha rivelato che l’attaccante coinvolto è riuscito ad accedere ai “dati di backup del caveau dei clienti”.
Questi includono “sia dati non criptati, come gli URL dei siti web, sia campi sensibili completamente criptati, come nomi utente e password dei siti web, note protette e dati compilati nei moduli”, si legge nel post del blog.
Nel post si legge, inoltre, che questi campi rimangono criptati e “possono essere decifrati solo con una chiave crittografica unica derivata dalla password principale di ogni utente utilizzando la nostra architettura Zero Knowledge”, basata sull’implementazione della Password-Based Key Derivation Function (PBKDF2) che rende difficile indovinare la password principale. Si specifica anche che le master password degli utenti di LastPass non sono conservate o gestite dall’azienda, né sono note all’azienda stessa.
In realtà, come sottolinea Giorgio Sbaraglia, consulente aziendale cyber security e membro del Comitato direttivo del Clusit, “LastPass cerca di tranquillizzare i propri utenti sostenendo che le password eventualmente rubate sono criptate (e ci mancherebbe che non lo fossero). Ma poi conclude che gli utenti dovrebbero adottare misure di sicurezza tra cui evitare di utilizzare la password principale come chiave di accesso anche su altri siti e servizi per non incorrere nell’attacco di credential stuffing“.
“Una comunicazione”, continua ancora Sbaraglia, “che non è completamente rassicurante per chi utilizza LastPass, perché gli attaccanti potrebbero avere avuto mesi di tempo per decifrare gli hash delle password mediante un password cracking”.
Secondo Paolo Dal Checco, consulente informatico forense, “già con la prima parte di dati, in chiaro e quindi leggibili, gli attaccanti avrebbero potuto fare danni, ma con la seconda possono avere avuto accesso anche alle password per gli utenti che avevano una master password semplice oppure contenuta in leak pubblici”.
“Dal 2018 la società aveva implementato dei vincoli sulla robustezza delle password e sul numero di iterazioni della Password-Based Key Derivation Function che protegge i vault; prima del 2018, invece, non vi erano restrizioni e quindi gli account più a rischio sono quelli non aggiornati da allora”, mette in guardia Dal Checco.
È allarme per attacchi phishing
È bene ricordare che, secondo le regole di LastPass introdotte ormai dal 2018, la master password per l’accesso agli archivi contenenti le credenziali degli utenti deve essere di almeno 12 caratteri includendo simboli, numeri e lettere maiuscole. Nonostante questo, essendo ora in possesso di alcuni di questi caveau digitali, gli attori delle minacce potrebbero tentare di accedere ai dati contenuti al loro interno utilizzando attacchi di forza bruta, ovvero impiegando un software per indovinare le combinazioni fino ad azzeccarle.
Il rischio di veder compromesse le proprie password memorizzate con LastPass dovrebbe dunque essere abbastanza basso per tutti gli utenti che utilizzano le impostazioni predefinite del password manager. La stessa LastPass, come dicevamo all’inizio, sottolinea che “ci vorrebbero milioni di anni per indovinare la vostra password principale utilizzando la tecnologia di violazione delle password generalmente disponibile”. Ma è un’eventualità che non può essere esclusa.
Semmai, la minaccia per gli utenti di LastPass potrebbe ora venire dagli attacchi di phishing in cui gli attaccanti si spacciano per la stessa LastPass inviando finte e-mail alle potenziali vittime in cui chiedono loro di accedere ad un finto form online da utilizzare per comunicare la vecchia master password e ottenerne una nuova (che, ovviamente, non arriverà mai mentre, nel frattempo, la nostra master password è già finita nelle mani dei criminali).
Cosa devono fare gli utenti di LastPass
Il consiglio di Paolo Dal Checco “è quello di cambiare tutte le password già memorizzate in cloud fino allo scorso mese di agosto”.
“In realtà, però, potrebbe essere già tardi”, mette in guarda l’esperto, “dato che gli attaccanti hanno avuto mesi di tempo per decifrare i vault e portare avanti attacchi di phishing sugli utenti conoscendo i loro dati e i siti sui quali utilizzavano LastPass. Quindi, oltre a cambiare tutte le password, conviene anche verificare se su tali account ci siano state anomalie da agosto a oggi: i criminali potrebbero essere entrati da tempo, aver scaricato materiale, abilitato regole, condivisioni o inoltri, modificato privilegi di accesso per mantenere una persistenza negli account”.
Al momento, LastPass non ha fornito consigli di sicurezza particolari ai propri utenti o specifiche azioni consigliate da intraprendere per mettere insicurezza i propri archivi digitali di password.
Tuttavia, nel post pubblicato sul blog aziendale si suggerisce a tutti coloro che non utilizzano le impostazioni predefinite del password manager di prendere in considerazione la possibilità di cambiare le credenziali memorizzate.
In merito al rischio di eventuali attacchi di phishing, invece, LastPass fa sapere che non invierà mai e-mail o contatterà gli utenti per richiedere le informazioni sulle loro password. È dunque importante diffidare da qualsiasi comunicazione inerente a una eventuale richiesta di cambio password.
“Il data breach di LastPass non ci deve portare a concludere che i password manager non sono sicuri”, conclude Giorgio Sbaraglia: “al contrario, rappresentano ancora oggi il miglior compromesso tra sicurezza e praticità. In alternativa a LastPass si potrebbe usare, ad esempio, 1Password che in 16 anni non ha mai subito un attacco e che può essere considerato tra i migliori password manager sul mercato, realizzato da un’azienda del cui CdA fa parte anche il famoso Troy Hunt”.