LastPass, che nel dicembre 2022 ha divulgato una grave violazione dei dati che ha permesso ad ignoti autori di accedere ai vari depositi di password crittografate; la piattaforma ha affermato che ciò è accaduto a seguito di un secondo attacco degli stessi attentatori ai suoi sistemi.
L’azienda ha dichiarato che uno dei suoi ingegneri DevOps ha subito l’attacco del proprio computer personale (“casalingo”, per così dire) e che l’infezione di un keylogger come parte di un attacco informatico protratto avrebbe estrapolato dati sensibili dai server di archiviazione del cloud di Amazon, ossia AWS.
Quali danni si sono verificati in questo secondo round contro LastPass?
“Il malintenzionato ha sfruttato le informazioni rubate durante il primo incidente, le informazioni disponibili da una violazione dei dati di terze parti e una vulnerabilità in un pacchetto software di terze parti per lanciare un secondo attacco coordinato“, ha dichiarato il servizio di gestione delle password.
Questa intrusione ha preso di mira l’infrastruttura, le risorse dell’azienda e uno dei suoi dipendenti dall’12 agosto 2022 al 26 ottobre 2022; l’incidente originale, d’altra parte, si è concluso il 12 agosto 2022.
Nell’agosto in cui è avvenuta tale violazione, gli intrusi hanno avuto accesso al codice sorgente e alle informazioni tecniche proprietarie del loro ambiente di sviluppo mediante un singolo account compromesso del dipendente.
Nel dicembre 2022, LastPass ha rivelato che il malintenzionato ha sfruttato le informazioni rubate per accedere a un ambiente di archiviazione basato su cloud e ottenere “alcuni elementi delle informazioni dei nostri clienti“.
Più tardi nello stesso mese, riguardo il malintenzionato in questione, è stato rivelato che aveva ottenuto l’accesso a un backup dei dati del deposito dei clienti e che, secondo la società, era protetto mediante crittografia AES a 256 bit. Last Pass, tuttavia, non ha rivelato la data di quando è stato effettuato il backup.
GoTo, l’azienda madre di LastPass, ha anche ammesso una violazione il mese scorso derivante dall’accesso non autorizzato al servizio di archiviazione cloud di terze parti.
Adesso, secondo l’azienda, l’autore di questa minaccia informatica si è impegnato in una nuova serie di attività di “ricognizione, enumerazione ed esfiltrazione” mirate al suo servizio di archiviazione cloud tra agosto e ottobre 2022.
“In particolare, il malintenzionato è stato in grado di sfruttare le credenziali valide rubate da un ingegnere senior DevOps per accedere a un ambiente di archiviazione cloud condiviso“, ha detto LastPass, aggiungendo che l’ingegnere “aveva accesso alle chiavi di decrittazione necessarie per accedere al servizio di archiviazione cloud“.
Ciò ha permesso all’autore (o autori) di ottenere l’accesso ai bucket AWS S3 che ospitavano i backup dei dati del deposito crittografati dei clienti di LastPass, ha evidenziato poi l’azienda.
E l’ingegnere di LastPass come se la passa?
Le password dell’impiegato sarebbero state rubate prendendo di mira il computer di questa persona e sfruttando un “pacchetto software di terze parti vulnerabile” per ottenere l’esecuzione del codice da remoto e installare un software keylogger.
“Il malintenzionato è stato in grado di acchiappare la password principale dell’impiegato mentre veniva inserita, dopo che l’impiegato si era autenticato con MFA, e accedere al corporate vault di LastPass dell’ingegnere DevOps“, ha detto LastPass.
LastPass non ha rivelato il nome del software di terze parti utilizzato, ma le indicazioni suggeriscono che potrebbe essere basato su Plex grazie al fatto che Plex stesso ha subito una violazione di sicurezza a sua volta alla fine di agosto 2022.
Alla fine della fiera, LastPass ha dichiarato di aver potenziato la sua postura di sicurezza ruotando le credenziali critiche e ad alto privilegio e rilasciando nuovi certificati ottenuti dal malintenzionato e di aver applicato ulteriori misure di indurimento dell’S3 per mettere in atto meccanismi di logging e allarme.
Infine, se sei utente di LastPass è altamente raccomandato che cambi le password principali e tutte le password memorizzate nei loro vault per non correre rischi sulla sicurezza dei propri account e dati, e chissà… forse usare un quaderno per memorizzare le proprie credenziali è più sicuro di LastPass.
Un sito come LastPass fa gola a molti malintenzionati per un motivo che è ovvio: se molti utenti mettono le loro credenziali, vuol dire potenzialmente aver accesso letteralmente ai dati personali di un quarto del globo.
Ciò significa: account Facebook, Instagram, TikTok e vari social, conti bancari, wallet di criptovalute e chissà quanto altro. Una vera e propria miniera d’oro per un hacker che ha intenzione di rubare non solo dati, ma magari anche denaro con qualche “dirottamento”.
Ecco perché alla fine per qualcosa del genere, ridendo e scherzando, saprai che un supporto cartaceo non te lo potrà hackerare nessuno.
