Scarica LastPass Freedownload
Blog
Ultime novità
Blog
Ultime novità
Novità del settore
LastPass per amministratori
LastPass Labs
Aggiornamenti sul prodotto
Trucchi e suggerimenti
bg
Notizie di sicurezza

Aggiornamento sull’incidente di sicurezza e azioni consigliate

Karim ToubbaMarch 01, 2023
Aggiornamento sull’incidente di sicurezza e azioni consigliate
Comunicazione rivolta ai clienti LastPass. Desidero condividere con voi un importante aggiornamento sull’incidente di sicurezza di cui vi abbiamo dato comunicazione il 22 dicembre scorso.  L’indagine approfondita che avevamo avviato è finalmente giunta al termine e possiamo dichiarare di non aver rilevato ulteriori attività da parte degli autori della minaccia dal 26 ottobre 2022. Nel corso dell’indagine, abbiamo appreso molto di più su quanto è accaduto e quest’oggi desideriamo condividere ciò che abbiamo scoperto con tutti voi. In questo periodo, abbiamo inoltre dedicato una notevole quantità di tempo ed energie a rafforzare la nostra protezione e a migliorare le operazioni di sicurezza nel loro complesso. Nell’aggiornamento di oggi, vi esporrò gli interventi che abbiamo già attuato e tutte le altre misure che stiamo adottando per garantire la vostra sicurezza. Il presente aggiornamento è strutturato come specificato di seguito:
  • Cosa è successo e come siamo intervenuti?
  • Quali informazioni sono state violate?
  • Quali azioni dovreste intraprendere per garantire protezione a voi stessi e alle vostre attività?
  • Cosa abbiamo fatto per mettere in sicurezza LastPass 
  • Cosa potete aspettarvi da noi in futuro
Abbiamo il privilegio di servire milioni di utenti e oltre 100.000 imprese, per cui desideriamo che tutti i nostri clienti abbiano le informazioni necessarie per rispondere alle proprie domande. Considerato il volume di informazioni che vi stiamo mettendo a disposizione, abbiamo suddiviso questo aggiornamento in sezioni che riassumono i vari argomenti e vi consentono di approfondirli ulteriormente con collegamenti dedicati. Nel prestare ascolto ai commenti ricevuti, abbiamo preso in seria considerazione il vostro disappunto per non essere stati aggiornati con maggiore frequenza e completezza nel corso dell’intero processo. La durata delle attività investigative ci ha costretto a trovare difficili compromessi su questo punto, ma comprendiamo l’esperienza frustrante che le nostre comunicazioni iniziali hanno procurato alle imprese e ai consumatori che fanno affidamento sui nostri prodotti e ne siamo spiacenti. Con la condivisione di questi ulteriori dettagli e con l’approccio che intendiamo adottare per il futuro, siamo determinati a fare ciò che è giusto per i nostri clienti e a rendere le nostre comunicazioni più efficaci. I lettori che preferiscono passare direttamente alle azioni consigliate per proteggere il proprio account o le rispettive attività sono pregati di consultare la pagina dedicata ai consumatori o agli amministratori aziendali di LastPass.

COSA È SUCCESSO E COME SIAMO INTERVENUTI?

I due incidenti di violazione che abbiamo reso pubblici l’anno scorso hanno preso di mira LastPass e la sua clientela. Entrambi gli episodi non sono ascrivibili ad alcun difetto del prodotto né a un accesso non autorizzato ai sistemi di produzione di LastPass o a un loro uso improprio; piuttosto, l’autore della minaccia ha sfruttato una vulnerabilità presente in software di terze parti, ha eluso i controlli esistenti e infine è riuscito a violare gli ambienti di archiviazione dei backup e di sviluppo non di produzione. Abbiamo condiviso dati tecnici, indicatori di compromissione (IOC) nonché tattiche, tecniche e procedure (TTP) con gli organi preposti all’applicazione della legge e le società da noi incaricate per svolgere attività forensi e raccogliere informazioni sulle minacce. Ciononostante, sia la motivazione della minaccia sia l’identità del suo autore restano tuttora sconosciute. Non è stato stabilito alcun contatto né sono state avanzate richieste e non sono state nemmeno rilevate attività clandestine attendibili che indichino il tentativo di piazzare o vendere le informazioni ottenute durante gli incidenti in questione. Riassunto del 1° incidente: il portatile aziendale di un ingegnere del software è stato compromesso, consentendo a un autore di minacce di accedere illecitamente a un ambiente di sviluppo basato sul cloud e trafugare parti del codice sorgente, dati tecnici e alcune chiavi private di sistema pertinenti a LastPass. L’ambiente di sviluppo non contiene dati dei clienti né delle rispettive casseforti, i quali non sono dunque rimasti coinvolti nel furto in questione.  Avevamo dichiarato concluso l’incidente, ma in seguito abbiamo appreso che le informazioni trafugate in quella circostanza erano state usate per individuare gli obiettivi e dare inizio al secondo incidente di violazione. In risposta al primo episodio, abbiamo mobilitato i nostri team di sicurezza interni e ci siamo avvalsi della collaborazione di Mandiant.  Le misure di contenimento, eradicazione e ripristino attuate in questa occasione comprendevano:
  • Sostituzione dell’ambiente di sviluppo compromesso con uno di nuova creazione per assicurare un contenimento e un’eradicazione totali
  • Implementazione di ulteriori tecnologie di sicurezza nonché di controlli aggiuntivi per rafforzare quelli già presenti
  • Rotazione delle chiavi private non crittografate usate dai nostri team e di ogni certificato compromesso
Ulteriori dettagli sul primo incidente di violazione e sulle contromisure adottate sono disponibili in questa pagina. Riassunto del 2° incidente: l’autore della minaccia ha preso di mira un tecnico DevOps senior sfruttandone il software vulnerabile di terze parti per recapitare malware, eludere i controlli esistenti e accedere in modo illecito ai backup sul cloud. Le informazioni contenute nei backup violati comprendevano dati di configurazione di sistema, chiavi private di API e integrazioni nonché dati con e senza crittografia dei clienti LastPass. In risposta alla seconda violazione, abbiamo nuovamente mobilitato il nostro team di risposta agli incidenti di sicurezza unitamente alle risorse di Mandiant. Le misure di contenimento, eradicazione e ripristino adottate in questa occasione comprendevano:
  • Analisi delle risorse di archiviazione cloud nonché applicazione di criteri e controlli aggiuntivi
  • Analisi e modifica degli attuali controlli di accesso privilegiato
  • Rotazione delle chiavi private e dei certificati violati dall’autore della minaccia
Ulteriori dettagli sul secondo incidente di violazione e sulle contromisure adottate sono disponibili in questa pagina.

QUALI INFORMAZIONI SONO STATE VIOLATE?

Come precisato nei riassunti degli incidenti di violazione, l’autore della minaccia ha trafugato sia dati di proprietà di LastPass sia informazioni dei clienti, tra cui: Riassunto dei dati violati nel 1° incidente:
  • Archivi su richiesta di codice sorgente e di sviluppo basati sul cloud, il che includeva 14 archivi software su 200
  • Script interni degli archivi, i quali contenevano certificati e chiavi private di LastPass
  • Documentazione interna, ovvero informazioni tecniche che descrivevano il funzionamento dell’ambiente di sviluppo
Riassunto dei dati violati nel 2° incidente: 
  • Chiavi private DevOps con restrizioni utilizzate per ottenere l’accesso al servizio di archiviazione cloud dei backup
  • Ambiente di archiviazione cloud dei backup, che conteneva dati di configurazione, chiavi private di API nonché di integrazioni terze, metadati dei clienti e backup di tutti i dati delle rispettive casseforti. Fatta eccezione per gli URL, i percorsi file del software LastPass installato su Mac o Windows e alcuni scenari d’uso che prevedevano gli indirizzi e-mail, tutti i dati sensibili presenti nelle casseforti dei clienti erano crittografati secondo il nostro modello basato sul principio della conoscenza zero e possono essere decrittografati soltanto mediante una chiave di crittografia univoca derivata dalla password principale dei rispettivi utenti. Ricordiamo, infatti, che le password principali degli utenti finali rimangono ignote a LastPass, che non può memorizzarle né gestirle in alcun modo, ragion per cui sono rimaste escluse dai dati che sono stati estrapolati.
  • Backup della base dati relativa all’MFA e alla federazione di LastPass, che conteneva copie dei valori iniziali di LastPass Authenticator, numeri telefonici usati per l’opzione di riserva dell’MFA (se abilitata) nonché un componente del codice a conoscenza ripartita (la “chiave” K2) utilizzato per l’accesso federato di LastPass (se abilitato). Questa base di dati risultava crittografata, ma la chiave di decrittografia conservata separatamente era inclusa nelle chiavi private trafugate dall’autore della minaccia durante il secondo incidente di violazione.
Dettagli più specifici sui dati dei clienti coinvolti nei due incidenti sono disponibili in questa pagina.

QUALI AZIONI DOVRESTE INTRAPRENDERE PER GARANTIRE PROTEZIONE A VOI STESSI E ALLE VOSTRE ATTIVITÀ?

Per fornire ai nostri clienti un’assistenza più mirata che li aiuti a rispondere efficacemente all’incidente di sicurezza, abbiamo redatto due bollettini sulla sicurezza: uno per gli utenti finali dei piani Free, Premium o Families e l’altro per gli utenti Business e Teams. Ciascun bollettino include informazioni finalizzate ad aiutare la clientela a proteggere il proprio account LastPass e far fronte a queste violazioni in un modo che riteniamo possa rispondere alle esigenze personali o all’ambiente e al profilo di sicurezza delle rispettive organizzazioni.
  • Bollettino sulla sicurezza: azioni consigliate per i clienti di LastPass Free, Premium o Families. Questo bollettino guida i nostri clienti Free, Premium e Families nella verifica di alcune impostazioni importanti di LastPass concepite per aiutarli a proteggere il proprio account confermando l’effettiva adozione delle migliori pratiche in materia.
  • Bollettino sulla sicurezza: azioni consigliate per gli amministratori aziendali di LastPass. Questo bollettino guida gli amministratori della nostra clientela Business e Teams nella valutazione dei rischi legati alla configurazione degli account LastPass e alle integrazioni di terzi, oltre a includere informazioni pertinenti sia ai clienti federati sia a quelli non federati.
Per eventuali domande in merito, il supporto tecnico e il nostro team del successo clienti sono a vostra completa disposizione.

COSA ABBIAMO FATTO PER METTERE IN SICUREZZA LASTPASS

A partire da agosto, abbiamo implementato ulteriori tecnologie di sicurezza di ultima generazione a livello di infrastruttura, data center e cloud per migliorare ulteriormente il nostro livello di sicurezza. Buona parte di questo intervento era già stato pianificato e avviato prima che si verificasse la violazione iniziale, ma è stato portato a termine in tempi record. Abbiamo inoltre rimodulato le nostre priorità, avviando cospicui investimenti nelle migliori prassi relative alla sicurezza, alla riservatezza e alle operazioni. Abbiamo eseguito un riesame completo delle nostre politiche di sicurezza e abbiamo applicato modifiche per limitare gli accessi e i privilegi, ove opportuno. Abbiamo condotto un’analisi accurata dei controlli e delle configurazioni attuali, apportando le modifiche necessarie per migliorare la protezione degli ambienti esistenti. Abbiamo inoltre avviato la procedura per ampliare l’utilizzo della crittografia nella nostra infrastruttura per backup e applicazioni. Non da ultimo, abbiamo iniziato a prendere in esame iniziative architetturali a più lungo termine in grado di imprimere un nuovo impulso all’evoluzione della piattaforma di LastPass nel suo complesso. Se siete interessati a consultare l’elenco degli interventi per la sicurezza, che include quelli già attuati e quelli in programma, potete visitare questa pagina.

COSA POTETE ASPETTARVI DA NOI IN FUTURO

Dal nostro post del 22 dicembre, ho avuto l’opportunità di confrontarmi con molti dei privati e delle aziende clienti della nostra società. Prendo atto dell’esperienza frustrante che avete vissuto a causa della nostra incapacità di comunicare con maggiore celerità, chiarezza e completezza nel corso di questa intera vicenda. Non posso che accettare le vostre critiche e me ne assumo la piena responsabilità. Questa esperienza ci ha insegnato molte cose e ci impegniamo a comunicare in maniera più efficace in futuro. Spero accogliate l’aggiornamento di oggi come una dimostrazione di questo impegno. Poco più di un anno fa, GoTo e i suoi investitori hanno annunciato che LastPass sarebbe diventata una società autonoma con un nuovo team esecutivo. Il nostro obiettivo è liberare tutto il potenziale della società e mantenere la promessa di sviluppare la migliore piattaforma aziendale per la gestione delle password. Verso la fine di aprile del 2022, ho accettato l’incarico di amministratore delegato della società, raccogliendone il testimone per aiutarla nella sua corsa verso questo traguardo. Con l’obiettivo di imprimere un impulso alla crescita della società e mettere in atto una nuova strategia, nel corso degli ultimi otto mesi abbiamo assunto un gruppo di nuovi dirigenti che include leader e veterani del settore rinomati nel comparto della sicurezza e della tecnologia. Nel quadro della prossima fase di crescita della società, abbiamo consolidato gli investimenti nella sicurezza che ruota intorno alle persone, ai processi e alle tecnologie con uno stanziamento di svariati milioni di dollari. Questi investimenti sostengono il nostro impegno a fare di LastPass una società leader nel settore della cibersicurezza che sia in grado di garantire protezione dagli attacchi futuri. Vi siamo grati per la comprensione, la partecipazione e il supporto che ci continuate a dimostrare.

Karim Toubba

Ad di LastPass

bg

Inizia a utilizzare LastPass Business

Provalo gratis per 14 giorni. Non è necessaria una carta di credito.