LastPass è un popolare gestore di password che ha subito più della sua giusta quota di violazioni dei dati. Sono ora emerse informazioni sull’ultima violazione dei dati di LastPass, segnalata qui dal nostro stesso John Durso a dicembre: LastPass Hacker Gets Vault Data
A quanto pare, il PC di un dipendente che lavora da casa è stato compromesso tramite un vulnerabilità in un lettore multimediale di terze parti, che è stato sfruttato per distribuire un keylogger. Una volta implementato il keylogger, era solo questione di tempo prima che il dipendente effettuasse l’accesso utilizzando le proprie credenziali ufficiali e, bingo… l’hacker aveva tutto ciò di cui aveva bisogno per accedere al caveau aziendale del dipendente. Quello che segue è un estratto del rapporto LastPass:
L’autore della minaccia ha preso di mira il PC remoto di un ingegnere DevOps senior sfruttando un software di terze parti vulnerabile. L’autore della minaccia ha sfruttato la vulnerabilità per fornire malware, aggirare i controlli esistenti e infine ottenere l’accesso non autorizzato ai backup nel cloud. I dati a cui si accedeva da tali backup includevano dati di configurazione del sistema, segreti API, segreti di integrazione di terze parti e dati dei clienti LastPass crittografati e non crittografati ~ <fonte>
Come ho ripetuto molte volte, per essere distribuito con successo la maggior parte dei malware richiede una sorta di azione involontaria da parte dell’utente e in ambienti aziendali che coinvolgono più computer in rete gestiti da più utenti, tale rischio è elevato senza fine. Anche se il caveau di LastPass non è stato violato direttamente, è straordinario pensare che i dipendenti remoti non siano meglio istruiti in modo da evitare questo tipo di violazioni da parte di terzi. In effetti, è inconcepibile che quello che è essenzialmente un PC di lavoro, incluso materiale altamente sensibile, non sia mantenuto completamente separato dalle esigenze personali del dipendente.
LastPass ha dichiarato che è ora in fase di rafforzamento del DevOps sicurezza della rete domestica dell’ingegnere. Anche se questo è certamente un passo nella giusta direzione, sicuramente a questi tipi di dipendenti che lavorano da casa con informazioni sensibili dovrebbe essere ordinato di mantenere due PC completamente separati: uno SOLO per esigenze lavorative e un altro per uso personale.
Cosa devono fare gli utenti LastPass
Se sei un utente LastPass e hai già intrapreso azioni correttive come da bollettino di LastPass, tutto a posto. Tuttavia, se lo stai scoprendo solo ora, devi seguire i consigli di John Durso dal suo precedente articolo:
Cambia la password principale di LastPass Attiva l’autenticazione a più fattori di LastPass se non è attiva Cambia tutte le password dei siti Web critici (e-mail, istituti finanziari, carte di credito, ecc.)
Stai al sicuro là fuori.
—