Come è avvenuta la violazione dei dati di LastPass e come evitarla?

La violazione dei dati di LastPass del 2022-2023 serve come promemoria di come sofisticati attacchi informatici possano trasformarsi in disastri di sicurezza a lungo termine. Questa analisi completa analizza l'incidente, il suo impatto e le lezioni cruciali per le organizzazioni che cercano di rafforzare la propria posizione di sicurezza.

L'impatto: i numeri#

Le conseguenze della violazione sono state gravi e durature:

• 33 milioni di utenti colpiti
• 4,4 milioni di dollari rubati a oltre 25 vittime
• 5 milioni di dollari, secondo le segnalazioni, rubati in una sola settimana
• 15 milioni di dollari rubati in criptovalute

Punti chiave#

• Un singolo account sviluppatore compromesso ha portato a una violazione che ha colpito 33 milioni di utenti di LastPass
• Gli aggressori hanno ottenuto l'accesso ai caveau di password crittografati e alle informazioni dei clienti
• Oltre 15 milioni di dollari sono stati rubati in furti di criptovalute collegati a questa violazione
• L'incidente ha evidenziato vulnerabilità critiche nella sicurezza del lavoro da remoto e nella risposta agli incidenti

Compromissione iniziale - Agosto 2022#

La violazione è iniziata quando gli aggressori hanno ottenuto un accesso non autorizzato all'ambiente di sviluppo di LastPass tramite un singolo account sviluppatore compromesso. In questa fase, gli aggressori hanno ottenuto:

• Porzioni del codice sorgente di LastPass
• Informazioni tecniche proprietarie
• Accesso alle risorse dell'ambiente di sviluppo

Escalation - Novembre/Dicembre 2022#

Ciò che inizialmente sembrava contenuto si è rapidamente intensificato quando gli aggressori hanno sfruttato le informazioni rubate per:

• Accedere al servizio di cloud storage di terze parti di LastPass
• Ottenere copie di backup dei dati dei caveau dei clienti
• Compromissione delle informazioni non crittografate degli account dei clienti

Sviluppo critico - Marzo 2023#

In un aggiornamento rivelatore, LastPass ha rivelato che gli aggressori avevano:

• Compromesso il computer di casa di un ingegnere DevOps senior
• Sfruttato una vulnerabilità in un software multimediale di terze parti
• Distribuito un malware keylogger per catturare le master password
• Ottenuto accesso a chiavi di decrittazione critiche

Quali dati sono stati compromessi?#

Informazioni sui clienti#

• Nomi delle aziende
• Nomi degli utenti finali
• Indirizzi di fatturazione
• Indirizzi email
• Numeri di telefono
• Indirizzi IP

Dati tecnici#

• Backup dei caveau dei clienti
• Segreti DevOps
• Archiviazione di backup basata su cloud
• Backup dei database MFA/Federation

Lezioni di sicurezza essenziali per le organizzazioni#

1. Implementare una robusta segmentazione di rete#

• Separare sistemi e dati critici
• Creare zone di sicurezza con diversi livelli di accesso
• Implementare severi controlli di accesso tra i segmenti
• Monitorare il traffico tra i segmenti di rete

2. Rafforzare la sicurezza del lavoro da remoto#

• Stabilire policy chiare per i dispositivi per il lavoro da casa
• Limitare l'installazione di software personali sui dispositivi di lavoro
• Implementare una robusta protezione degli endpoint
• Audit di sicurezza regolari delle configurazioni per il lavoro da remoto

3. Migliorare la risposta agli incidenti e la comunicazione#

• Sviluppare procedure chiare di risposta agli incidenti
• Mantenere una comunicazione trasparente con gli stakeholder
• Documentare e aggiornare tempestivamente gli incidenti di sicurezza
• Fornire aggiornamenti regolari durante gli incidenti in corso

4. Gestione avanzata delle password e degli accessi#

• Implementare l'autenticazione a più fattori su tutti i sistemi
• Richiedere password forti e uniche per ogni account
• Rotazione regolare delle password e audit di sicurezza
• Utilizzare gestori di password con robuste funzionalità di sicurezza

Misure preventive per le organizzazioni#

1. Controlli tecnici#

• Implementare un'architettura zero-trust
• Distribuire una protezione avanzata degli endpoint
• Valutazioni di sicurezza e penetration testing regolari
• Monitoraggio e logging continui

2. Controlli amministrativi#

• Formazione regolare sulla sicurezza per i dipendenti
• Policy e procedure di sicurezza chiare
• Gestione dei rischi dei fornitori
• Pianificazione della risposta agli incidenti

Conclusione#

La violazione dei dati di LastPass serve come lezione cruciale sull'importanza di misure di sicurezza complete e di un'adeguata risposta agli incidenti. Le organizzazioni devono adottare un approccio proattivo alla sicurezza, implementando più livelli di protezione preparandosi a potenziali violazioni. Imparando da questo incidente, le aziende possono proteggere meglio i propri asset e mantenere la fiducia dei clienti.

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →

Domande frequenti#

Come sono passati gli aggressori da un account sviluppatore all'accesso ai caveau dei clienti nella violazione di LastPass?#

Gli aggressori hanno utilizzato il codice sorgente e le informazioni tecniche rubate dall'ambiente di sviluppo di LastPass nell'agosto 2022 per accedere a un servizio di cloud storage di terze parti che conteneva i backup dei caveau dei clienti. Questa escalation in più fasi si è sviluppata nel corso di diversi mesi prima che l'intera portata fosse rivelata all'inizio del 2023.

Perché i caveau crittografati di LastPass erano ancora considerati a rischio dopo la violazione?#

Gli aggressori hanno ottenuto sia i backup dei caveau crittografati che, aspetto critico, le chiavi di decrittazione distribuendo un keylogger sul computer di casa di un ingegnere DevOps senior. Catturare le master password insieme alle chiavi di decrittazione significava che la sola crittografia non poteva proteggere completamente i dati dei clienti.

Quali falle nella sicurezza del lavoro da remoto hanno peggiorato la violazione di LastPass?#

Il computer personale di un ingegnere DevOps senior è stato compromesso attraverso una vulnerabilità in un software multimediale di terze parti, un rischio che solide policy di protezione degli endpoint per i dispositivi di lavoro da remoto mirano a prevenire. Limitare l'installazione di software personali e imporre audit di sicurezza delle configurazioni domestiche sono mitigazioni chiave.

Quali tipi specifici di dati sono stati esposti nella violazione di LastPass del 2022-2023?#

I dati esposti rientravano in due categorie: informazioni sui clienti (inclusi nomi, indirizzi di fatturazione, indirizzi email, numeri di telefono e indirizzi IP), più dati tecnici (backup dei caveau dei clienti, segreti DevOps, archiviazione di backup basata su cloud e backup dei database MFA/Federation). Questa combinazione di dati personali e infrastrutturali ha reso la violazione particolarmente dannosa.