LastPass ha pubblicato sul suo blog un aggiornamento sulla violazione e furto di dati subita a novembre, aggiungendo ulteriori informazioni sulle informazioni dei clienti trafugate, e le novità sono molto preoccupanti.

LastPass afferma che i cybercriminali hanno potuto sottrarre informazioni sugli account degli utenti come per esempio il nome, l’indirizzo di fatturazione, l’indirizzo e-mail, il numero di telefono e informazioni sugli indirizzi IP utilizzati. Sono stati trafugati anche i dati del vault dei clienti, l’archivio che comprende dati non criptati come gli URL dei siti web a cui si è registrati, e dati cifrati come i nomi utente e le password dei siti web, le note protette e i dati di auto compilazione nei moduli.

I dati più delicati, cioè le credenziali di accesso ai siti, sono cifrati con una password individuale scelta dall’utente (la master password), che nemmeno LastPass conosce. Un password manager degno di questo nome deve infatti avere una politica Zero Knowledge, che non consente l’accesso alle credenziali nemmeno al gestore del servizio.

Detto ciò, i rischi per gli utenti sono rilevanti. Se la password scelta non è molto robusta, i criminali possono provare a violare l’archivio delle password con un attacco a forza bruta. Se poi la stessa password è stata usata anche su altri servizi compromessi in passato, il gioco si fa ancora più facile (potete verificare qui se le vostre credenziali sono state già oggetto di una violazione ed sono quindi quindi note ai criminali). LastPass ha una funzionalità che permette di verificare se le proprie password sono già state diffuse in passato, ma il servizio era a pagamento.

Inoltre, disponendo di molte informazioni sull’utente, come il suo nome, l’indirizzo di fatturazione e il telefono, i criminali potrebbero provare a fare attacchi di phishing, spacciandosi per LastPass o un altro servizio, spingendolo a usare la master password su un sito falso oppure perpetrando altri tipi di truffa.

Violazione LastPass: cosa devono fare gli utenti

Posto che sui dati già trafugati nulla si può più fare, per difendersi dal possibile furto delle credenziali di tutti i siti a cui si è iscritti nell’immediato e in un futuro anche remoto, ecco cosa dovreste fare immediatamente e nell’ordine se siete utenti LastPass:

  • Cambiare immediatamente la master password di LastPass, scegliendone una molto robusta e in nessun modo simile alla precedente
  • Attivare l’autenticazione a due fattori, se non lo avete già fatto
  • Subito dopo, sempre che intendiate continuare a usare LastPass e non sostituirlo con un’alternativa come spieghiamo più sotto, dovreste cambiare tutte le password dei servizi più delicati e importanti, come:
    1. Servizi direttamente collegati alla propria identità online, come indirizzi email, SpID, social network e altri sistemi usati per autenticarsi su siti di terze parti
    2. Home Banking e altri servizi di pagamento (Paypal, Satispay, PostePay eccetera)
    3. Servizi che prevedono un addebito diretto sulla carta di credito (Amazon, o altri siti che permetto di ordinare beni o servizi e che archiviano i dati della carta di credito dell’utente
  • Successivamente, cambiare le password su tutti gli altri siti che ritenete in qualche modo importanti

Attacco a LastPass: cosa è successo esattamente

Il popolare gestore di password aveva già lo scorso agosto subìto una violazione della sicurezza, durante la quale è stato infiltrato l’ambiente di sviluppo dell’azienda. All’epoca, LastPass aveva dichiarato che erano stati sottratti parte del codice sorgente e informazioni tecniche proprietarie, mentre i dati dei clienti non erano stati toccati.

Il 30 novembre, LastPass aveva poi comunicato di aver rilevato attività sospetta sui propri dati di backup, ospitati su un servizio cloud di terze parti, e che l’indagine seguente condotta insieme a Mandiant aveva evidenziato che “soggetti non autorizzati avevano avuto accesso ad alcune informazioni sugli utenti”. Sempre secondo l’indagine, questa seconda violazione deriva dalle conoscenze acquisite dai criminali durante l’incidente dell’agosto 2022.

L’aggiornamento del 22 dicembre contiene i dettagli sul tipo di dati trafugati, ammettendo sostanzialmente di essersi fatta svuotare la cassaforte, e che il bottino comprendeva dati in chiaro e cifrati degli utenti, il bene più prezioso.

LastPass ha subìto diversi attacchi al suo servizio già negli anni precedenti, con incidenti degni di nota come l’accesso non autorizzato del 2015 agli indirizzi e-mail degli account degli utenti, ai promemoria delle password e agli hash dell’autenticazione. Altre falle nella sicurezza includono la vulnerabilità dell’estensione del browser del 2017 che ha permesso a siti web malevoli di rubare le password. Nel 2019, lo stesso ricercatore che ha scoperto la falla del 2017, ha individuato un’altra vulnerabilità dell’estensione del browser, che permetteva di rivelare l’ultima password utilizzata. L’azienda ha persino commesso errori di comunicazione, come le e-mail di avviso di sicurezza inviate ai clienti non effettivamente colpiti da un attacco di credential stuffing.

È ora di abbandonare LastPass e pensare a un’alternativa

Prima di approcciare il punto 3 delle nostre raccomandazioni, vale la pena considerare di cambiare gestore di password con uno alternativo. Altri gestori di password di alto livello non hanno riportato nel corso degli anni lo stesso numero di incidenti di LastPass. L’azienda aveva fatto molto discutere di sé anche lo scorso anno, quando si è scoperto che l’app Android di LastPass conteneva ben sette cookie di tracciamento, tra cui tre che inviavano i dati di utilizzo a terze parti per fini di marketing.

Se state pensando di passare a un servizio alternativo, ecco alcuni consigli:

  • A meno che non abbiate sposato la piattaforma Apple/iOS o Google/Android, evitate di usare i gestori di password dei sistemi operativi o del browser. Sebbene possibile, la sincronizzazione sicura delle password tra ambienti diversi non è cosa semplice da ottenere. Meglio quindi optare su un gestore che disponga di app per ogni piattaforma.
  • Per lo stesso motivo, utilizzare un gestore di password di quelli forniti dai produttori di antivirus potrebbe tenervi legati a quel marchio anche quando vorrete cambiarlo
  • Se, anche sa seguito del recente incidente, siete scoraggiati dai gestori di password che ospitano i dati in cloud, potete sceglierne uno che permette di tenere un archivio locale, come KeePass (progetto open source per il quale esistono decine di applicazioni.
  • Se però, come è ragionevole, pensate che sia molto comodo avere un archivio di password costantemente sincronizzato tra tutti i dispositivi e in ogni angolo del mondo, allora BitWarden è una valida alternativa. Consente archivi locali, la versione cloud non ha grandi limitazioni sul numero di dispositivi, il suo codice è open source e non utilizza i dati a fini di marketing.

Trovate qui un articolo che confronta KeePass, BitWarden e i password manager integrati nei browser.

Se decidete di fare il passaggio a un altro password manager, una raccomandazione: prima di abbandonare LastPass, cancellate il vault con le password (dopo averle eventualmente esportate in locale), ed eventualmente chiedete la chiusura dell’account e la cancellazione di tutti i dati personali.