La violazione della sicurezza di LastPass: come proteggersi
Pubblicato: 2023-01-05Cosa devi sapere e fare riguardo alla violazione di LastPass
Se sei un utente LastPass, come molti di noi nella community di WordPress, potresti essere alla ricerca di una soluzione alternativa per la gestione delle password oggi. Dopo una massiccia violazione della sicurezza di LastPass, la società non ha rivelato in modo tempestivo, il che ha potenzialmente messo a rischio i tuoi dati, dovresti considerare di passare a Bitwarden o 1Password. Ancora meglio, inizia a utilizzare le passkey quando possibile: rendono gli accessi senza password la soluzione di sicurezza definitiva. Infine, se sei responsabile della sicurezza dei dati altrui o se hai un ruolo di comunicazione, puoi imparare dagli errori di LastPass, principalmente cosa non fare. Diamo un'occhiata a cosa è successo, cosa sarebbe dovuto succedere e come dovresti proteggere in modo proattivo i tuoi account online.
Scavare una buca più in profondità non ti farà uscire
Nell'agosto 2022, il CEO di LastPass Karim Toubba ha pubblicato la prima di quella che sarebbe diventata una serie di divulgazioni pubbliche sempre più gravi su una violazione della sicurezza profonda e in corso. La divulgazione iniziale diceva che "una parte non autorizzata" ha avuto accesso parziale all'ambiente di sviluppo degli ingegneri di LastPass sfruttando "un singolo account sviluppatore compromesso". L'intruso ha rubato del codice sorgente e "informazioni tecniche proprietarie di LastPass". Tuttavia, Toubba ha affermato che non vi è stato alcun impatto sulla piattaforma di gestione delle password LastPass stessa o sui suoi clienti. Inequivocabilmente, ha assicurato ai clienti LastPass che le loro password principali, i dati e le informazioni personali erano al sicuro. Le nostre informazioni critiche sull'account erano totalmente sicure, non toccate da intrusi.
Sfortunatamente, questo non era affatto vero.
Cosa è realmente successo a LastPass
A partire dalla fine di novembre, Toubba ha apportato molti altri aggiornamenti alla divulgazione di LastPass che Zack Whittaker di TechCrunch ha analizzato utilmente per mostrare ciò che LastPass non stava spiegando. LastPass alla fine ha chiarito che l'aggressore ha rubato alcuni dati dei clienti in una seconda violazione abilitata dalle "informazioni ottenute" nella violazione precedente. In primo luogo, l'attaccante aveva preso di mira uno sviluppatore LastPass e poi un altro per penetrare più a fondo nei sistemi di LastPass, incluso l'archiviazione cloud della società madre di LastPass, GoTo. (GoTo possiede anche LogMeIn e GoToMyPC.)
Con una mossa inquietante, GoTo ha nascosto la propria divulgazione ai motori di ricerca.
Quindi, subito prima di Natale, Toubba ha aggiornato nuovamente la divulgazione della violazione di LastPass. Ha confermato che gli aggressori hanno rubato un'istantanea di backup dei depositi crittografati delle password dei clienti LastPass. Toubba ha anche riconosciuto che chiunque abbia l'istantanea potrebbe utilizzare metodi di forza bruta per violare i depositi di password crittografati dei clienti. Nella violazione c'erano i nomi dei clienti LastPass, i nomi delle loro società e indirizzi e-mail, i loro numeri di telefono e indirizzi IP, URL, note, dati dei moduli e alcune informazioni di fatturazione.
Questo è oltre il male.
L'impatto della cattiva comunicazione di crisi da LastPass
LastPass non ha rivelato fatti chiave come quanti account utente ci sono nei dati rubati. Di conseguenza, dovremmo presumere che tutti gli oltre 25 milioni di utenti LastPass (a novembre 2022) siano a rischio a causa di queste violazioni della sicurezza. Inoltre, anche gli ex clienti potrebbero essere a rischio ora se i file di backup rubati contengono i loro vecchi dati personali e di sicurezza delle password.
Uso LastPass da molti anni per accedere alle password di altre persone che condividono con me per motivi di lavoro. Anche se non ho pagato personalmente per utilizzare il servizio, per questo motivo ho dovuto tenere un account con LastPass. Ho ricevuto le notifiche di violazione della sicurezza da LastPass via e-mail come altri clienti e mi sono subito preoccupato. Ho notato che l'argomento è stato discusso in Post Status Slack, un popolare forum della community per i professionisti di WordPress. Robert Rowley, uno sviluppatore sostenitore di Patchstack, ha condiviso la notizia lì. Ha osservato: “Non sono trapelate password principali o password memorizzate. Non è necessario alcun intervento". Come milioni di altri utenti di Patchstack, ci fidavamo tutti di ciò che l'azienda ci aveva detto e ci sbagliavamo.
Successivamente, altri membri di Patchstack e della community di WordPress hanno condiviso la notizia che GoTo ha soppresso la propria divulgazione di violazioni. A dicembre, Rowley ha commentato di nuovo, osservando fino a che punto le cose erano arrivate dall'affermazione iniziale a cui tutti credevamo. "Non è stato effettuato l'accesso alle casseforti dei clienti." Confrontando la serie di rivelazioni contraddittorie con i pugni, Rowley ha osservato: "Questo può essere visto come una combinazione sinistra-destra di perdita di fiducia, ogni aggiornamento peggiora l'incidente".
Cosa sarebbe dovuto succedere a LastPass
Nella comunità open source, valutiamo la trasparenza come un errore. Soprattutto per quanto riguarda la sicurezza, cerchiamo di mantenere e proteggere una cultura di divulgazione responsabile. Se scopriamo vulnerabilità nei prodotti software open source, informiamo silenziosamente i loro proprietari e manutentori. Ci aspettiamo che avvisino tempestivamente i loro utenti e facciano una divulgazione completa non appena hanno corretto qualsiasi codice sfruttabile. Ci aspettiamo che ciò avvenga molto rapidamente, come una priorità assoluta. In questo modo, i membri della comunità open source cercano di aiutarsi a vicenda a risolvere i problemi che hanno un impatto su tutti invece di coprirli, cosa che accade spesso con il software proprietario.
Un'etica simile si applica quando individui maligni rubano informazioni di identificazione personale (PII) di alto valore. Sebbene le leggi sulla notifica delle violazioni della sicurezza varino nei diversi stati e paesi, richiedono tutte una divulgazione tempestiva alle persone interessate. Non è una semplice cortesia, è un obbligo legale ed etico.
In sicurezza, la fiducia è tutto
Tutte le violazioni della sicurezza possono danneggiare la fiducia. Sono tutte brutte situazioni che possono solo peggiorare se approfondite dal ritardo. La divulgazione di informazioni errate e incomplete può essere catastrofica per un'azienda e un marchio, come abbiamo visto con LastPass.
Perché qualcuno dovrebbe fidarsi di un'azienda che mostra un comportamento così irresponsabile, premuroso e inevitabilmente autodistruttivo quando ha deluso gravemente i suoi clienti? L'onestà, la comunicazione diretta e chiara che si concentra sulla mitigazione dei danni ai clienti è l'unico modo possibile per migliorare le cose.
In definitiva, la fiducia non è una tecnologia o un concetto tecnico. Si tratta di rapporti umani. La fiducia dipende da come tratti le persone, specialmente quelle che hanno riposto la loro fiducia in te. Non sempre manteniamo le nostre promesse e il fallimento è sempre possibile. L'unico modo per rinnovare la fiducia quando accade il peggio è ammettere quello che è successo e esporre tutto onestamente.
In che modo gli utenti di LastPass dovrebbero rispondere alla violazione della sicurezza?
Dato il modo in cui LastPass ha rivelato questa violazione, ulteriori misure di sicurezza su LastPass per proteggere il tuo caveau delle password non saranno d'aiuto. È ora di iniziare prima, migrare a un nuovo gestore di password come 1Password, Bitwarden o NordPass e, in secondo luogo e soprattutto, iniziare a modificare le password su siti e applicazioni critici le cui credenziali sono state archiviate nel tuo deposito LastPass. Aggiungere l'autenticazione a due fattori a quei siti sarebbe una mossa molto saggia se non l'hai già fatto.
Se il tuo caveau non era protetto da una password principale complessa, tutti i tuoi account online alla fine sarebbero stati compromessi. Anche se avessi una password principale complessa, potrebbe comunque essere violata con la forza bruta.
Non è una questione se i tuoi dati verranno decifrati, è una questione di quando . Dato che questa violazione è avvenuta cinque mesi prima della divulgazione da parte di LastPass che le casseforti dei clienti sono state colpite, gli aggressori malintenzionati hanno già un vantaggio. Pertanto, è fondamentale iniziare a proteggere le credenziali per tutti gli account archiviati su LastPass.
Ecco perché la prossima e più importante cosa da fare è iniziare a cambiare tutte le password di tutti gli account che hai memorizzato in LastPass. Dai la priorità a quelli più vitali, come account finanziari, account di amministrazione del sito e altri la cui perdita potrebbe costarti caro.
È ora di lasciare LastPass
Infine, ti consigliamo di chiudere il tuo account LastPass e passare a un altro servizio come Bitwarden o 1Password. Bitwarden ha uno strumento di migrazione per importare i record del tuo account LastPass. Così fa 1Password.
È ora di uscire da LastPass. Se hai i fondi da spendere su 1Password, è un'alternativa più solida a molti altri gestori di password disponibili. La loro configurazione di sicurezza si basa anche su una chiave segreta per proteggere i depositi. 1Password è stata una scelta di molti professionisti della sicurezza e dispone di ottimi sistemi per condividere l'accesso al vault per i team che richiedono l'accesso a numerosi account.
Un'altra alternativa è Bitwarden. Uno strumento open source, il codice sorgente di Bitwarden è disponibile per la revisione su Github, dove viene spesso verificato dai ricercatori di sicurezza. L'account a pagamento è di soli $ 10 all'anno, il che rende facile supportare il progetto per le persone con un budget limitato. Puoi anche ospitare il tuo caveau di Bitwarden da solo, se lo desideri.
Un'opportunità per ripensare le proprie pratiche di sicurezza
Anche se non sei un cliente, la violazione di LastPass è una buona opportunità per pensare alle tue politiche di sicurezza. Una caratteristica importante dei gestori di password come LastPass è la possibilità di condividere l'accesso agli account online con altre persone. Le limitazioni di molti servizi online e le esigenze del posto di lavoro ci spingono a condividere l'accesso all'account per comodità. Tuttavia, la condivisione degli account è, di norma, una pessima pratica di sicurezza. Non concedere a più di una persona l'accesso agli account di social media per utente singolo come Twitter! Utilizza invece un'app di gestione dei social media multiutente. Quindi puoi consentire a qualsiasi numero di persone di inviare tweet senza rischiare la perdita del tuo account principale. E quando queste persone se ne vanno o cambiano ruolo, la gestione dei loro privilegi di accesso sarà molto più semplice.
Chiunque abbia concesso l'accesso alle password condivise in un'app come LastPass potrebbe conservarle per sempre. Potrebbero scriverli. Possono salvarli nel gestore delle password del proprio browser per comodità. Le persone vanno e vengono in ogni squadra e organizzazione. Una corretta pratica di sicurezza richiede di eliminare gli account inutilizzati e modificare le password senza indugio. Lo pratichi? Quanto bene lo fai? L'hai reso il più semplice e chiaro possibile? Hai delegato questa responsabilità cruciale a una persona specifica? Chi controlla e verifica i privilegi di accesso del tuo team? Quanto spesso lo fanno?
Pensa ai tuoi scenari peggiori. Come gestiresti la comunicazione su una violazione che ha esposto i dati dei tuoi clienti? Come puoi tornare a una strategia di prevenzione proattiva in modo che ciò non accada mai?
Nessuna azienda è troppo piccola per ignorare queste responsabilità cruciali. Cosa puoi fare oggi per ridurre il rischio di una violazione catastrofica domani?
Passepartout per la vittoria! Il futuro della sicurezza digitale
Questo evento sottolinea i problemi con le password. I gestori di password stanno tentando di supportare password più complesse e l'autenticazione a due fattori ha tentato di fornire un altro livello di sicurezza. Tuttavia, secondo il rapporto sulla sicurezza dei dati di Verizon, meno del 30% degli utenti utilizza effettivamente 2FA. Le password sono davvero rotte. Le passkey sono la soluzione per andare avanti.
Una passkey è un tipo di metodo di autenticazione che prevede l'uso di un dispositivo fisico, come un portachiavi o una smart card, per verificare l'identità di un utente. Un computer o un telefono con metodi di accesso biometrici sempre più comuni può essere utilizzato anche per autenticare la tua identità su un sito web. Le passkey sono considerate più sicure di altri metodi di autenticazione, come le password, perché forniscono un ulteriore livello di sicurezza.
Se il tuo computer è un dispositivo noto e affidabile con una chiave di accesso per il tuo conto bancario (o sito WordPress se usi iThemes Security Pro) puoi ignorare i tradizionali accessi al sito. È sufficiente che il sito web riconosca il tuo dispositivo ed eventualmente chieda l'impronta digitale tramite Touch ID sui dispositivi Apple o Windows Hello per Microsoft.
La vera tranquillità è senza password
Un vantaggio delle passkey è che non possono essere facilmente indovinate o decifrate come una password. Le password possono essere vulnerabili agli attacchi del dizionario, in cui un hacker verifica un elenco di password comuni per tentare di ottenere l'accesso a un account. Le passkey, d'altra parte, sono in genere uniche e non possono essere facilmente replicate, rendendole molto più difficili da compromettere.
Inoltre, le passkey possono essere utilizzate insieme ad altri metodi di autenticazione, come una password del dispositivo o l'autenticazione biometrica, per fornire un livello di sicurezza ancora più elevato. Questo è noto come autenticazione a più fattori e può aumentare notevolmente la difficoltà per un hacker di ottenere l'accesso a un account.
Le passkey potrebbero presto rendere inutili i gestori di password come LastPass. Ciò renderà il Web più sicuro, poiché le violazioni della sicurezza di grandi piattaforme come LastPass potrebbero diventare un ricordo del passato. Se gestisci un sito WordPress o WooCommerce, puoi offrire a te stesso e ai tuoi utenti l'elevata sicurezza e la comodità senza pari degli accessi senza password con la funzione passkey di iThemes Pro.
Lo stato dei gestori di password nel 2023
Un corso di formazione online interattivo dal vivo
10 gennaio 2023 @ 13:00 (Centrale)
In questo webinar discuteremo della recente violazione di LastPass e di cosa possiamo imparare al riguardo proteggendo le nostre vite digitali (inclusi i nostri siti WordPress) e valuteremo anche lo stato attuale di password, gestori di password, autenticazione a due fattori e di più in modo che possiamo entrare nel 2023 in sicurezza.
Parleremo anche della soluzione per lasciarci le password alle spalle con passkey e dello stato di implementazione di WebAuthn sia da parte dei giganti della tecnologia che di iThemes Security.
Dan Knauss è il Technical Content Generalist di StellarWP. È scrittore, insegnante e libero professionista che lavora nell'open source dalla fine degli anni '90 e con WordPress dal 2004.