Annuncio di un recente incidente di sicurezza

Aggiornamento del 22 dicembre 2022 Comunicazione rivolta a tutta la community di LastPass. Recentemente, vi abbiamo comunicato che un soggetto non autorizzato ha ottenuto l’accesso al servizio di archiviazione cloud di terze parti utilizzato da LastPass per conservare le copie di backup dei dati di produzione. Nell’ottica della trasparenza che da sempre ci contraddistingue, desideriamo aggiornarvi sulle attività investigative in corso. Cosa abbiamo scoperto Sulla base degli accertamenti compiuti alla data attuale, sappiamo che un autore di minacce tuttora ignoto è riuscito ad accedere a un ambiente di archiviazione cloud sfruttando i dati ottenuti durante la violazione che abbiamo reso pubblica lo scorso agosto. Sebbene durante la violazione in questione non siano state trafugate informazioni dei clienti, questa ha comportato un furto parziale del codice sorgente e dei dati tecnici dall’ambiente di sviluppo di LastPass, che sono stati utilizzati per prendere di mira un altro dipendente e ottenere le chiavi e le credenziali necessarie per accedere ad alcuni volumi di archiviazione ospitati nell’ambiente cloud di terze parti e decrittografarli. I servizi di produzione LastPass al momento vengono erogati da centri dati ospitati in sede, mentre quelli di archiviazione cloud servono a vari altri scopi, come conservare le copie di backup e i requisiti regionali di residenza dei dati. Il servizio di archiviazione cloud violato dall’autore della minaccia è fisicamente separato da quello di produzione. Ad oggi abbiamo accertato che, una volta ottenute la chiave di accesso alle risorse di archiviazione nel cloud e le doppie chiavi di decrittografia del contenitore di archiviazione, l’autore di minacce ha sfruttato le copie di backup per acquisire informazioni di base sugli account dei clienti insieme ai relativi metadati, tra cui ragioni sociali, nominativi degli utenti finali, indirizzi di fatturazione, indirizzi di posta elettronica, numeri di telefono e indirizzi IP da cui i clienti accedevano ai servizi di LastPass. Il soggetto in questione è riuscito inoltre a copiare un backup dei dati presenti nelle casseforti dei clienti dal contenitore di archiviazione crittografato che è memorizzato in un formato binario proprietario, il quale contiene sia informazioni non crittografate – come gli URL dei siti Web – sia campi con informazioni riservate – quali nomi utente e password per accedere ai siti, note sicure e dati di compilazione moduli. Grazie alla nostra architettura di sicurezza basata sul principio della conoscenza zero, tali campi crittografati rimangono al sicuro perché protetti con crittografia AES a 256 bit e possono essere decrittografati esclusivamente tramite una chiave di crittografia univoca derivata dalla password principale dei rispettivi utenti. Ricordiamo, infatti, che la password principale rimane ignota a LastPass, che non può memorizzarla né gestirla in alcun modo. Tutti i processi di crittografia e decrittografia dei dati vengono eseguiti unicamente sul client LastPass locale. Ulteriori informazioni sulla nostra architettura di sicurezza basata sul principio della conoscenza zero nonché sugli algoritmi crittografici di cui ci avvaliamo sono disponibili in questa pagina. Non sussiste alcun elemento che faccia pensare a una violazione dei dati delle carte di credito in forma non crittografata. LastPass non memorizza mai per intero i numeri delle carte di credito e i dati che le riguardano non vengono conservati nel suddetto ambiente di archiviazione cloud. Cosa ne deriva e quali rischi comporta per i vostri dati L’autore di minacce potrebbe tentare attacchi di forza bruta per indovinare la vostra password principale e decrittografare i dati presenti nelle copie delle casseforti che ha trafugato. Grazie al processo di hashing e ai metodi crittografici che impieghiamo per proteggervi, risulta estremamente complicato tentare di indovinare con simili attacchi le password principali di quei clienti che adottano le nostre procedure consigliate in materia di password. Testiamo regolarmente i nostri algoritmi verificandone l’efficacia contro le più recenti tecnologie per la violazione delle password in modo da rimanere al passo con i tempi e migliorare i nostri controlli crittografici. L’autore di minacce potrebbe inoltre prendere di mira i clienti usando attacchi di phishing, credential stuffing e forza bruta contro gli account associati alla loro cassaforte LastPass. Per proteggervi dagli attacchi di phishing o di ingegneria sociale, è importante tenere a mente che LastPass non vi contatterà mai con SMS, e-mail o telefonate per chiedervi di verificare le vostre informazioni personali invitandovi a fare clic su un collegamento o in altro modo. Ad eccezione di quando vi autenticate sul nostro client per accedere alla cassaforte, LastPass non vi chiederà mai la password principale. Cosa dovrebbero fare i clienti LastPass Vi rammentiamo alcune delle migliori pratiche e delle impostazioni predefinite che riguardano la password principale di LastPass:

• Dal 2018, LastPass richiede una password principale composta da almeno 12 caratteri. Questo requisito riduce notevolmente le possibilità di individuare una password usando attacchi di forza bruta.
• Per incrementare ulteriormente la sicurezza della vostra password principale, LastPass implementa un processo di hashing fuori dell’ordinario che prevede 100.100 iterazioni della funzione di derivazione della chiave basata su password (PBKDF2), un algoritmo che rafforza le password per renderle più difficili da determinare. Potete verificare l’attuale numero di iterazioni di PBKDF2 che riguarda il vostro account LastPass seguendo le istruzioni in questa pagina.
• Raccomandiamo inoltre di non riutilizzare mai la password principale su altri siti Internet. Qualora lo faceste e quella password venisse compromessa, un autore di minacce potrebbe attingere dalla mole di credenziali compromesse divulgate in rete per tentare di accedere al vostro account (un attacco noto come “credential stuffing”).

Usando le accortezze appena descritte, complichereste la vita a un autore di minacce che ricorra alle tecnologie per la violazione delle password generalmente disponibili perché impiegherebbe milioni di anni per indovinare la vostra password principale. I dati sensibili presenti nella vostra cassaforte, incluso nomi utente e password, note sicure, allegati e profili per la compilazione dei moduli, rimangono al sicuro perché crittografati secondo l’architettura di LastPass basata sul principio della conoscenza zero. Al momento, dunque, non vi è alcuna azione necessaria che vi raccomandiamo di intraprendere. Tuttavia, è importante sottolineare che, se la vostra password principale non soddisfa i criteri appena descritti, si riduce sensibilmente il numero di tentativi necessari per determinarla con esattezza. In questo caso, come ulteriore misura di sicurezza per ridurre al minimo i rischi, dovreste prendere in considerazione di cambiare le password dei siti memorizzati nella vostra cassaforte. Rammentiamo ai clienti Business che hanno implementato i nostri servizi federativi che LastPass si fonda su un’architettura di sicurezza basata sul principio della conoscenza zero e sfrutta una password principale nascosta per crittografare i dati presenti nelle loro casseforti. A seconda del modello di implementazione prescelto, questa password principale è il risultato di due o più stringhe casuali conservate in luoghi differenti e generate con crittografia a 256 bit oppure composte da 32 caratteri che devono essere espressamente combinate per originare una password utilizzabile (maggiori dettagli sull’argomento sono disponibili nel nostro libro bianco tecnico). I frammenti delle chiavi memorizzati nell’infrastruttura di LastPass o in quella del gestore dell’identità digitale dei clienti non sono stati violati dall’autore della minaccia e non facevano parte dei dati di backup che sono stati copiati. Pertanto, se avete implementato i nostri servizi federativi, non è necessario che interveniate in alcun modo. Tuttavia, è importante sottolineare che, se siete clienti Business che non usano l’accesso federato e la vostra password principale non soddisfa i criteri precedentemente descritti, si riduce sensibilmente il numero di tentativi necessari per determinarla con esattezza. In questo caso, come ulteriore misura di sicurezza per ridurre al minimo i rischi, dovreste prendere in considerazione di cambiare le password dei siti memorizzati nella vostra cassaforte. Come siamo intervenuti e come stiamo intervenendo In risposta all’incidente dello scorso agosto, abbiamo precluso qualsiasi ulteriore accesso all’ambiente di sviluppo di LastPass ritirandolo in toto e ricreandone uno nuovo da zero. Abbiamo inoltre sostituito e fortificato ulteriormente i computer, i processi e i meccanismi di autenticazione degli sviluppatori. Oltre a ciò, abbiamo integrato altre funzionalità di avviso e registrazione che ci aiutano a rilevare eventuali nuove attività non autorizzate, incluso una seconda linea di difesa fornita da una società leader nelle tecnologie di rilevamento endpoint e risposta che si affiancherà al nostro team. Abbiamo inoltre continuato a perseguire il nostro obiettivo di implementare un nuovo set interamente dedicato di ambienti di sviluppo e produzione di LastPass. Per rispondere a quest’ultimo incidente di sicurezza, stiamo modificando le credenziali e i certificati che potrebbero essere stati coinvolti e stiamo rafforzando la sicurezza degli endpoint. Stiamo eseguendo un’analisi accurata di ogni account che mostri segni di attività sospette in seno al servizio di archiviazione cloud di cui ci avvaliamo, aumentando le misure di protezione in questo ambiente ed esaminando tutti i dati che contiene per determinare con certezza ciò a cui è riuscito ad accedere l’autore di minacce. Ci siamo già messi in contatto con un piccolo sottoinsieme (inferiore al 3%) di clienti Business per invitarli a intraprendere determinate azioni sulla base di alcune configurazioni dei loro account. Se siete clienti Business ma non siete stati ancora contattati per intraprendere queste azioni, vuol dire che al momento non è richiesto alcun altro intervento da parte vostra. Le attività investigative sono tuttora in corso. Abbiamo informato dell’incidente gli organismi preposti all’applicazione della legge e le autorità di regolamentazione competenti in via precauzionale. Ci impegniamo a tenervi aggiornati sui risultati della nostra indagine e a comunicarvi sia le azioni che intraprendiamo sia quelle che dovreste intraprendere. Nel frattempo, i nostri servizi funzionano normalmente e noi continuiamo a operare in uno stato di allerta elevato. Vi siamo grati per il supporto e la pazienza che continuate a dimostrarci mentre ci adoperiamo per risolvere questo incidente di sicurezza. Karim Toubba Ad di LastPass   Aggiornamento del 30 novembre 2022  Comunicazione rivolta a tutti i clienti LastPass. Nell’ottica della trasparenza che da sempre ci contraddistingue, desidero aggiornarvi sull’incidente di sicurezza attualmente al vaglio del team LastPass preposto. Di recente, abbiamo rilevato alcune attività sospette che hanno interessato un servizio di archiviazione cloud di terze parti attualmente utilizzato in condivisione da LastPass e GoTo, sua affiliata. Ci siamo adoperati tempestivamente per avviare un’indagine, intraprendendo una collaborazione con Mandiant – una società leader nel campo della cibersicurezza – e allertando gli organi preposti all’applicazione della legge. Abbiamo accertato che un soggetto non autorizzato ha sfruttato i dati trafugati nell’incidente dello scorso agosto per ottenere l’accesso a taluni elementi d’informazione dei nostri clienti, le cui password rimangono tuttavia al sicuro perché crittografate secondo l’architettura di LastPass basata sul principio della conoscenza zero. Stiamo lavorando alacremente per comprendere meglio la portata dell’incidente e determinare con esattezza a quali informazioni sia stato possibile accedere. Allo stesso tempo, ci teniamo a precisare che i prodotti e i servizi LastPass continuano a funzionare normalmente. Come sempre, vi incoraggiamo ad adottare le procedure consigliate per l’impostazione e la configurazione di LastPass, disponibili in questa pagina [https://blog.lastpass.com/2022/01/how-to-set-up-your-new-lastpass-account/]. Nel quadro del nostro impegno volto a rilevare e prevenire qualsiasi ulteriore attività degli autori di minacce, continuiamo a integrare la nostra infrastruttura con nuove misure di sicurezza e funzionalità di monitoraggio potenziate. Mentre lavoriamo per portare a termine le attività investigative, desideriamo ringraziarvi anticipatamente per la vostra pazienza. Non appena avremo ulteriori aggiornamenti, sarà nostra cura condividerli con voi – come sempre! Karim Toubba Ad di LastPass   Aggiornamento del 15 settembre 2022 Comunicazione rivolta a tutti i clienti LastPass. Il 25 agosto scorso vi abbiamo dato comunicazione di un incidente di sicurezza, circoscritto al nostro ambiente di sviluppo, che ha comportato un furto parziale del codice sorgente e dei dati tecnici di LastPass. Con questo post, desidero aggiornarvi sui risultati della nostra indagine in modo da rassicurare, con la trasparenza che ci contraddistingue, le imprese e i consumatori che costituiscono la community di LastPass. Le attività forensi e investigative che avevamo avviato in collaborazione con Mandiant sono giunte al termine e hanno rivelato che l’attività dell’autore di minacce informatiche è stata limitata a un periodo di quattro giorni nel mese di agosto del 2022. In questo intervallo temporale, il team di sicurezza di LastPass ha rilevato l’attività dell’autore di minacce e ha proceduto a contenere l’incidente. Non sussiste alcun elemento che faccia pensare a una prosecuzione dell’attività in questione oltre la sequenza temporale individuata. Confermiamo inoltre che non abbiamo riscontrato alcun elemento che suggerisca una violazione dei dati dei clienti o delle casseforti crittografate che ne contengono le password. Dalla nostra indagine è emerso che l’autore di minacce ha ottenuto l’accesso all’ambiente di sviluppo sfruttando un endpoint compromesso di uno sviluppatore. Sebbene il metodo impiegato per la compromissione iniziale dell’endpoint non sia certo, l’autore di minacce ha approfittato dell’accesso continuo per fingersi lo sviluppatore dopo che questi si era autenticato correttamente usando l’autenticazione a più fattori. Nonostante l’autore di minacce abbia ottenuto l’accesso all’ambiente di sviluppo, la nostra infrastruttura di sicurezza ha impedito che potesse accedere ai dati dei clienti o alle casseforti crittografate che ne custodiscono le password. In primo luogo, l’ambiente di sviluppo di LastPass è fisicamente separato da quello di produzione e tra i due non vi è alcun collegamento diretto. In secondo luogo, l’ambiente di sviluppo non contiene dati dei clienti né casseforti crittografate. In terzo luogo, LastPass non può conoscere le password principali per accedere alle casseforti dei clienti. Secondo il nostro modello di sicurezza basato sul principio della conoscenza zero, infatti, è proprio la password principale ad assicurare che sia soltanto il titolare di un account a poterne decrittografare la cassaforte e accedere ai dati. Con l’intento di verificare l’integrità del codice di LastPass, abbiamo effettuato un’analisi del codice sorgente e delle build di produzione, da cui non risulta alcun tentativo di contaminazione del codice o iniezione di codice dannoso. Gli sviluppatori non hanno la possibilità di eseguire il push del codice sorgente nell’ambiente di produzione da quello di sviluppo. Questa possibilità è riservata a un team deputato al rilascio delle nuove versioni e può avvenire soltanto dopo aver completato rigorose procedure di revisione, verifica e convalida del codice. Nel quadro del nostro piano di gestione del rischio, abbiamo inoltre intrapreso una collaborazione con una società leader nel mercato della sicurezza informatica per migliorare ulteriormente le nostre pratiche di protezione del codice sorgente, che includono processi sicuri per il ciclo di vita dello sviluppo del software, modellazione delle minacce, gestione delle vulnerabilità e programmi di bug bounty. In aggiunta, abbiamo implementato controlli di sicurezza potenziati che contribuiscono, tra l’altro, ad aumentare la protezione e il monitoraggio degli endpoint. Oltre a tutto ciò, abbiamo ampliato le nostre funzionalità di intelligence sulle minacce e abbiamo distribuito tecnologie avanzate di rilevamento e prevenzione nei nostri ambienti di sviluppo e produzione. Nel mettervi al corrente con la massima sollecitudine, abbiamo perseguito l’obiettivo di dare ancora più risonanza al nostro impegno nella tutela e nella protezione delle informazioni che ci affidate in custodia. Siamo consapevoli che gli incidenti di sicurezza possono destare preoccupazione ma ci teniamo ad assicurarvi che i vostri dati personali e le vostre password sono completamente al sicuro con noi. Vi siamo grati per la fiducia e il supporto che ci continuate a dimostrare! Karim Toubba Ad di LastPass   Post originale del 25 agosto 2022 Comunicazione rivolta a tutti i clienti LastPass. Desidero informarvi di un avvenimento che riteniamo importante divulgare a beneficio delle imprese e dei consumatori che costituiscono la community di LastPass. Due settimane fa, abbiamo rilevato delle attività sospette all’interno di alcune aree dell’ambiente di sviluppo di LastPass. Ci siamo adoperati tempestivamente per avviare un’inchiesta, ma non abbiamo riscontrato alcun elemento che suggerisca una violazione dei dati dei clienti o delle casseforti crittografate che ne contengono le password. Siamo giunti alla conclusione che un soggetto non autorizzato ha ottenuto l’accesso ad alcune aree dell’ambiente di sviluppo di LastPass tramite l’account compromesso di un unico sviluppatore e ha trafugato parti del codice sorgente insieme ad alcuni dati tecnici proprietari di LastPass. I prodotti e i servizi LastPass funzionano normalmente. In risposta all’accaduto, abbiamo adottato le opportune misure di contenimento e mitigazione del rischio, rivolgendoci inoltre a una società di cibersicurezza e informatica forense. Mentre le attività investigative procedono, siamo riusciti a contenere l’incidente, abbiamo implementato nuove misure di sicurezza potenziate e non abbiamo ravvisato la presenza di ulteriori attività non autorizzate. Sulla base di quanto abbiamo appreso nonché delle contromisure adottate, stiamo valutando ulteriori tecniche di mitigazione per rafforzare il nostro ambiente. Di seguito, troverete una breve raccolta di domande frequenti che abbiamo stilato in previsione di quelle che potrebbero essere le vostre domande o preoccupazioni iniziali più urgenti. Continueremo tuttavia a tenervi aggiornati con tutta la trasparenza che meritate. Vi siamo grati per la pazienza, la comprensione e il supporto che ci continuate a dimostrare. Karim Toubba Ad di LastPass  

Domande frequenti

1. L’incidente ha compromesso la mia password principale o quella dei miei utenti?

No. Non conosciamo né memorizziamo mai le password principali. Impieghiamo un’architettura di sicurezza conforme agli standard del settore basata sul principio della conoscenza zero, la quale impedisce a LastPass di ottenere l’accesso alla password principale dei nostri clienti o venirne in altro modo a conoscenza. Ulteriori informazioni sull’implementazione tecnica del principio della conoscenza zero sono disponibili QUI.

2. L’incidente ha compromesso i dati presenti nella mia cassaforte o in quella dei miei utenti?

No. L’incidente è avvenuto nel nostro ambiente di sviluppo. La nostra indagine non ha evidenziato alcun accesso non autorizzato ai dati delle casseforti crittografate. Il nostro modello basato sul principio della conoscenza zero assicura che soltanto il cliente possa accedere alla propria cassaforte per decrittografarne i dati.

3. L’incidente ha compromesso le mie informazioni personali o quelle dei miei utenti?

No. La nostra indagine non ha evidenziato alcun accesso non autorizzato ai dati dei clienti nel nostro ambiente di produzione.

4. Cosa dovrei fare per proteggere sia me che i dati salvati nella mia cassaforte?

Al momento, non abbiamo alcuna raccomandazione da fare agli utenti o agli amministratori. Come sempre, vi incoraggiamo ad adottare le procedure consigliate per l’impostazione e la configurazione di LastPass, disponibili al seguente indirizzo: https://blog.lastpass.com/2022/01/how-to-set-up-your-new-lastpass-account/

5. Come faccio a reperire maggiori informazioni?

Continueremo a tenere aggiornati i nostri clienti con tutta la trasparenza che meritano.