- Cosa è successo e come siamo intervenuti?
- Quali informazioni sono state violate?
- Quali azioni dovreste intraprendere per garantire protezione a voi stessi e alle vostre attività?
- Cosa abbiamo fatto per mettere in sicurezza LastPass
- Cosa potete aspettarvi da noi in futuro
COSA È SUCCESSO E COME SIAMO INTERVENUTI?
I due incidenti di violazione che abbiamo reso pubblici l’anno scorso hanno preso di mira LastPass e la sua clientela. Entrambi gli episodi non sono ascrivibili ad alcun difetto del prodotto né a un accesso non autorizzato ai sistemi di produzione di LastPass o a un loro uso improprio; piuttosto, l’autore della minaccia ha sfruttato una vulnerabilità presente in software di terze parti, ha eluso i controlli esistenti e infine è riuscito a violare gli ambienti di archiviazione dei backup e di sviluppo non di produzione. Abbiamo condiviso dati tecnici, indicatori di compromissione (IOC) nonché tattiche, tecniche e procedure (TTP) con gli organi preposti all’applicazione della legge e le società da noi incaricate per svolgere attività forensi e raccogliere informazioni sulle minacce. Ciononostante, sia la motivazione della minaccia sia l’identità del suo autore restano tuttora sconosciute. Non è stato stabilito alcun contatto né sono state avanzate richieste e non sono state nemmeno rilevate attività clandestine attendibili che indichino il tentativo di piazzare o vendere le informazioni ottenute durante gli incidenti in questione. Riassunto del 1° incidente: il portatile aziendale di un ingegnere del software è stato compromesso, consentendo a un autore di minacce di accedere illecitamente a un ambiente di sviluppo basato sul cloud e trafugare parti del codice sorgente, dati tecnici e alcune chiavi private di sistema pertinenti a LastPass. L’ambiente di sviluppo non contiene dati dei clienti né delle rispettive casseforti, i quali non sono dunque rimasti coinvolti nel furto in questione. Avevamo dichiarato concluso l’incidente, ma in seguito abbiamo appreso che le informazioni trafugate in quella circostanza erano state usate per individuare gli obiettivi e dare inizio al secondo incidente di violazione. In risposta al primo episodio, abbiamo mobilitato i nostri team di sicurezza interni e ci siamo avvalsi della collaborazione di Mandiant. Le misure di contenimento, eradicazione e ripristino attuate in questa occasione comprendevano:- Sostituzione dell’ambiente di sviluppo compromesso con uno di nuova creazione per assicurare un contenimento e un’eradicazione totali
- Implementazione di ulteriori tecnologie di sicurezza nonché di controlli aggiuntivi per rafforzare quelli già presenti
- Rotazione delle chiavi private non crittografate usate dai nostri team e di ogni certificato compromesso
- Analisi delle risorse di archiviazione cloud nonché applicazione di criteri e controlli aggiuntivi
- Analisi e modifica degli attuali controlli di accesso privilegiato
- Rotazione delle chiavi private e dei certificati violati dall’autore della minaccia
QUALI INFORMAZIONI SONO STATE VIOLATE?
Come precisato nei riassunti degli incidenti di violazione, l’autore della minaccia ha trafugato sia dati di proprietà di LastPass sia informazioni dei clienti, tra cui: Riassunto dei dati violati nel 1° incidente:- Archivi su richiesta di codice sorgente e di sviluppo basati sul cloud, il che includeva 14 archivi software su 200
- Script interni degli archivi, i quali contenevano certificati e chiavi private di LastPass
- Documentazione interna, ovvero informazioni tecniche che descrivevano il funzionamento dell’ambiente di sviluppo
- Chiavi private DevOps con restrizioni utilizzate per ottenere l’accesso al servizio di archiviazione cloud dei backup
- Ambiente di archiviazione cloud dei backup, che conteneva dati di configurazione, chiavi private di API nonché di integrazioni terze, metadati dei clienti e backup di tutti i dati delle rispettive casseforti. Fatta eccezione per gli URL, i percorsi file del software LastPass installato su Mac o Windows e alcuni scenari d’uso che prevedevano gli indirizzi e-mail, tutti i dati sensibili presenti nelle casseforti dei clienti erano crittografati secondo il nostro modello basato sul principio della conoscenza zero e possono essere decrittografati soltanto mediante una chiave di crittografia univoca derivata dalla password principale dei rispettivi utenti. Ricordiamo, infatti, che le password principali degli utenti finali rimangono ignote a LastPass, che non può memorizzarle né gestirle in alcun modo, ragion per cui sono rimaste escluse dai dati che sono stati estrapolati.
- Backup della base dati relativa all’MFA e alla federazione di LastPass, che conteneva copie dei valori iniziali di LastPass Authenticator, numeri telefonici usati per l’opzione di riserva dell’MFA (se abilitata) nonché un componente del codice a conoscenza ripartita (la “chiave” K2) utilizzato per l’accesso federato di LastPass (se abilitato). Questa base di dati risultava crittografata, ma la chiave di decrittografia conservata separatamente era inclusa nelle chiavi private trafugate dall’autore della minaccia durante il secondo incidente di violazione.
QUALI AZIONI DOVRESTE INTRAPRENDERE PER GARANTIRE PROTEZIONE A VOI STESSI E ALLE VOSTRE ATTIVITÀ?
Per fornire ai nostri clienti un’assistenza più mirata che li aiuti a rispondere efficacemente all’incidente di sicurezza, abbiamo redatto due bollettini sulla sicurezza: uno per gli utenti finali dei piani Free, Premium o Families e l’altro per gli utenti Business e Teams. Ciascun bollettino include informazioni finalizzate ad aiutare la clientela a proteggere il proprio account LastPass e far fronte a queste violazioni in un modo che riteniamo possa rispondere alle esigenze personali o all’ambiente e al profilo di sicurezza delle rispettive organizzazioni.- Bollettino sulla sicurezza: azioni consigliate per i clienti di LastPass Free, Premium o Families. Questo bollettino guida i nostri clienti Free, Premium e Families nella verifica di alcune impostazioni importanti di LastPass concepite per aiutarli a proteggere il proprio account confermando l’effettiva adozione delle migliori pratiche in materia.
- Bollettino sulla sicurezza: azioni consigliate per gli amministratori aziendali di LastPass. Questo bollettino guida gli amministratori della nostra clientela Business e Teams nella valutazione dei rischi legati alla configurazione degli account LastPass e alle integrazioni di terzi, oltre a includere informazioni pertinenti sia ai clienti federati sia a quelli non federati.
COSA ABBIAMO FATTO PER METTERE IN SICUREZZA LASTPASS
A partire da agosto, abbiamo implementato ulteriori tecnologie di sicurezza di ultima generazione a livello di infrastruttura, data center e cloud per migliorare ulteriormente il nostro livello di sicurezza. Buona parte di questo intervento era già stato pianificato e avviato prima che si verificasse la violazione iniziale, ma è stato portato a termine in tempi record. Abbiamo inoltre rimodulato le nostre priorità, avviando cospicui investimenti nelle migliori prassi relative alla sicurezza, alla riservatezza e alle operazioni. Abbiamo eseguito un riesame completo delle nostre politiche di sicurezza e abbiamo applicato modifiche per limitare gli accessi e i privilegi, ove opportuno. Abbiamo condotto un’analisi accurata dei controlli e delle configurazioni attuali, apportando le modifiche necessarie per migliorare la protezione degli ambienti esistenti. Abbiamo inoltre avviato la procedura per ampliare l’utilizzo della crittografia nella nostra infrastruttura per backup e applicazioni. Non da ultimo, abbiamo iniziato a prendere in esame iniziative architetturali a più lungo termine in grado di imprimere un nuovo impulso all’evoluzione della piattaforma di LastPass nel suo complesso. Se siete interessati a consultare l’elenco degli interventi per la sicurezza, che include quelli già attuati e quelli in programma, potete visitare questa pagina.COSA POTETE ASPETTARVI DA NOI IN FUTURO
Dal nostro post del 22 dicembre, ho avuto l’opportunità di confrontarmi con molti dei privati e delle aziende clienti della nostra società. Prendo atto dell’esperienza frustrante che avete vissuto a causa della nostra incapacità di comunicare con maggiore celerità, chiarezza e completezza nel corso di questa intera vicenda. Non posso che accettare le vostre critiche e me ne assumo la piena responsabilità. Questa esperienza ci ha insegnato molte cose e ci impegniamo a comunicare in maniera più efficace in futuro. Spero accogliate l’aggiornamento di oggi come una dimostrazione di questo impegno. Poco più di un anno fa, GoTo e i suoi investitori hanno annunciato che LastPass sarebbe diventata una società autonoma con un nuovo team esecutivo. Il nostro obiettivo è liberare tutto il potenziale della società e mantenere la promessa di sviluppare la migliore piattaforma aziendale per la gestione delle password. Verso la fine di aprile del 2022, ho accettato l’incarico di amministratore delegato della società, raccogliendone il testimone per aiutarla nella sua corsa verso questo traguardo. Con l’obiettivo di imprimere un impulso alla crescita della società e mettere in atto una nuova strategia, nel corso degli ultimi otto mesi abbiamo assunto un gruppo di nuovi dirigenti che include leader e veterani del settore rinomati nel comparto della sicurezza e della tecnologia. Nel quadro della prossima fase di crescita della società, abbiamo consolidato gli investimenti nella sicurezza che ruota intorno alle persone, ai processi e alle tecnologie con uno stanziamento di svariati milioni di dollari. Questi investimenti sostengono il nostro impegno a fare di LastPass una società leader nel settore della cibersicurezza che sia in grado di garantire protezione dagli attacchi futuri. Vi siamo grati per la comprensione, la partecipazione e il supporto che ci continuate a dimostrare.
Karim Toubba
Ad di LastPass