Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Compromissione

Compromessa l’applicazione di gestione password LastPass

cloud  LastPass   mercoledì, 17 giugno 2015

L’applicazione di gestione password basata sul Cloud LastPass è stata vittima di un attacco che ha portato alla compromissione dei dati di account degli utenti, tra cui indirizzi Email, password reminder, “sali” crittografici univoci per utente e hash dei dati di autenticazione. Stando a quanto riportato dai gestori del servizio, i dati personali degli utenti, ossia le diverse credenziali memorizzate in forma cifrata sui server di LastPass, non sono stati toccati dagli attaccanti.

Questo non vuol dire però che gli utenti del servizio non siano comunque a rischio. Ad esempio, i criminali informatici potrebbero tentare attacchi a forza bruta sugli hash delle password, avendo a disposizione anche il relativo “sale”. Quindi gli utenti che avessero impostato password master molto deboli e non utilizzassero l’autenticazione a più fattori, potrebbero vedere violati i propri account. Questo tipo di attacco risulta in realtà piuttosto difficile da attuare a causa della complessità e della intrinseca lentezza dell’algoritmo usato da LastPass per generare gli hash delle password, che si basa su un sale univoco per ogni utente e 100.000 iterazioni di PBKDF2 con SHA256 lato server, oltre a quelle effettuati lato client.

Un altro rischio, più serio, potrebbe derivare da campagne di phishing mirate verso gli indirizzi di Email trafugati con richieste di aggiornamento della password master di LastPass, che reindirizzerebbero su falsi siti controllati dagli hacker.

LastPass ha già provveduto ad avvertire gli utenti vittime dell’esfiltrazione raccomandando loro alcune misure di sicurezza per mitigare l’impatto della compromissione.

Per prima cosa gli utenti devono cambiare la loro password master, avendo cura di sceglierla sufficientemente robusta e, soprattutto, univoca per il servizio LastPass. Si suggerisce, ad esempio, di usare il generatore casuale interno dell’applicazione. È comunque buona norma cambiare la password master periodicamente.

Inoltre, si raccomanda di abilitare sempre l’autenticazione a più fattori per una protezione ancora maggiore dell’account. In questo modo uno specifico dispositivo dell’utente può essere associato all’account, attraverso app come Google Authenticator: per completare l’autenticazione viene richiesto l’inserimento di un codice di sei cifre valido una sola volta (one-time) che viene mostrato dall’app sullo schermo del dispositivo. Un dispositivo può anche essere associato in maniera permanente, evitando di dover ripetere la doppia autenticazione ad ogni accesso. In ogni caso, la doppia autenticazione verrà sempre richiesta qualora si tenti di accedere all’account da un dispositivo, fisso o mobile, non ancora conosciuto al sistema.

LastPass offre anche la possibilità di rafforzare ulteriormente la protezione del proprio account mediante una serie di opzioni avanzate, quali ad es. la definizione di un indirizzo di Email separato di sicurezza, la restrizione del log-in da specifici Paesi e il log-out automatico quando si cambia dispositivo.

Al di là dell’effettiva gravità ed estensione di questa specifica compromissione, e nonostante LastPass fornisca opzioni di sicurezza piuttosto avanzate, questo tipo di incidente evidenzia come, allo stato attuale delle tecnologie di protezione dati, occorra valutare attentamente l’opportunità di affidare a servizi basati sul Cloud informazioni come credenziali di siti di home banking e altri dati personali.

Notizie correlate

Milioni di dispositivi di videosorveglianza Xiongmai attaccabili dal Cloud

12 ottobre 2018

Sono state individuate diverse vulnerabilità nell'infrastruttura Cloud di Xiongmai che consentono di compromettere milioni di telecamere IP, DVR e NVR di questo produttore.Leggi tutto