LucaTheHacker se l'utente è scemo, non c'è sicurezza che tenga
Concordo, un po' lo stesso discorso che si fa anche per gli AV: se vuoi che funzionino, devi essere te il primo a fare attenzione a dove e come navighi
Casseforti di LastPass sottratte nel recente data breach
LucaTheHacker Verissimo, ma ciò non toglie la serietà pari a zero di un gestore di password che ha di default una sola iterazione e campi email e URL non crittografati, mi auguro che più gente possibile scappi da LastPass e vada verso 1Password oppure Bitwarden.
Io ho già fatto lo switch, e ho approfittato dell'offerta in corso, ottenendo uno sconto quasi totale sul canone annuale, dietro presentazione della ricevuta del rinnovo dell'abbonamento LastPass fatta a fine Novembre.
Mugna Anche io sono passato recentemente a 1Password ma purtroppo avevo Bitwarden versione free, è valido solo per il primo anno giusto?
Michele144 A quanto mi risulta sì, è uno sconto che si applica al primo anno.
ale_prince io sono corso ai ripari passando a 1Password + YubiKey.
Se presenti l'ultima fattura LastPass ti applicano il 50% di sconto per 12 mesi. 
Cr4z33 Lo sconto è proporzionale a quanto è recente la sottoscrizione di LastPass, la mia era di fine Novembre, abbonamento fatto a 1Password due settimane fa con sconto del 90% circa.
La cosa triste è che io sono passato da 1Passord a LastPass qualche anno fa, malvoluto non è mai troppo.....
Quale modello di Yubikey usi?
un mese dopo
Aggiornamento da LastPass. Gli hacker avrebbero sfruttato una vulnerabilità in un software di riproduzione file multimediali, installato malware sul computer di un dipendente e infine letto la password della cassaforte LastPass per estrarre la chiave di cifratura dei backup: https://support.lastpass.com/help/incident-2-additional-details-of-the-attack.
This was accomplished by targeting the DevOps engineer’s home computer and exploiting a vulnerable third-party media software package, which enabled remote code execution capability and allowed the threat actor to implant keylogger malware. The threat actor was able to capture the employee’s master password as it was entered, after the employee authenticated with MFA, and gain access to the DevOps engineer’s LastPass corporate vault
[cancellato]
Marco25 Gli hacker avrebbero sfruttato una vulnerabilità in un software di riproduzione file
Gli hacker hanno sfruttato la vulnerabilità di un cattivo sviluppatore - che per di più doveva essere "senior" - che usava la stessa macchina per due attività con notevoli diversi livelli di sicurezza, essendo suddetto sviluppatore uno dei quattro che aveva accesso alle credenziali più elevate. Un altro caso di DevOooooops! E LastPass è colpevole se 1) non gli ha fornito un PC di lavoro 2) non l'ha obbligato ad usarlo. BYOD è sinonimo di Bring Your Own Vulnerabilities.
A meno che questo non sia lo "scapegoat" per nascondere che si sono fatti bucare in altro modo.
[cancellato]
[cancellato] DevOooooops!
Purtroppo è sempre più pane quotidiano per tutte le più grandi aziende dell'informatica (e non solo le più grandi)... pare che di far cappellate e di perdere la faccia non importi più nulla a nessuno, butta su che c'è da fare in fretta, poi sistemiamo e rifacciamo due volte, o tre, la stessa cosa. Male, ovviamente, ammesso ci sia budget per sistemarla e non sia stato dirottato per la nuoverrima boiata commerciale.
[cancellato] BYOD è sinonimo di Bring Your Own Vulnerabilities.
Ma anche Bring Your Own Deficiencies francamente.
[cancellato] A meno che questo non sia lo "scapegoat" per nascondere che si sono fatti bucare in altro modo.
Ho paura anch'io che sia una mossa di copertura. Voglio dire, chi diavolo può arrivare a sapere che il tizio X, che usa il software Y (non aggiornato, nella versione con una RCE) che non c'azzecca niente con il lavoro, su una postazione personale, che viene bucata proprio quando viene usata casualmente a quanto sembra una volta per una operazione di lavoro, riesce proprio in quel momento a prendere il controllo, rubare credenziali (!!!) di un bucket S3 (a trovarlo, mica AZ ne ha uno solo...) che guardacaso conteneva i dump di backup del database... Aoh, questo c'aveva meno probabilità di fare due sei di fila al superenalotto senza giocare la schedina che incasellare tutte queste coincidenze.
[cancellato] Ho paura anch'io che sia una mossa di copertura. Voglio dire, chi diavolo può arrivare a sapere che il tizio X, che usa il software Y (non aggiornato, nella versione con una RCE) che non c'azzecca niente con il lavoro, su una postazione personale, che viene bucata proprio quando viene usata casualmente a quanto sembra una volta per una operazione di lavoro, riesce proprio in quel momento a prendere il controllo, rubare credenziali
Secondo te gli hacker passavano lì per caso e hanno trovato uno ingegnere di LastPass? Avranno fatto un lungo lavoro di ricognizione prima di procedere (fonti di ArsTechnica sostengono si trattasse di Plex che nello stesso periodo ha sofferto un data breach).
Se avessi voluto nascondere il vero motivo del data breach non avrei certamente portato alla stampa una storia così imbarazzante di un ingegnere con accesso estremamente privilegiato che esegue Plex sul PC di lavoro. Avrei taciuto o inventato un attacco più sofisticato.
Marco25 A me sembra che questo annuncio sembra proprio rientrare nella categoria da te descritta "o inventato un attacco più sofisticato"
i signori della truffa 2
[cancellato]
Marco25 inventato un attacco più sofisticato
È proprio questo secondo me il caso, hanno tentato di scaricare la colpa su Plex che era bucato per dire "noi c'avevamo tuttt'apppposto signò ma ci hanno bucati per colpa sua", che poi tutto a posto non era per le ragioni che ha espresso anche [cancellato] .
Marco25 Secondo te gli hacker passavano lì per caso e hanno trovato uno ingegnere di LastPass? Avranno fatto un lungo lavoro di ricognizione prima di procedere
Che secondo te non lo so? 
Il problema è che quel castello di carte che hanno costruito per dare la spiegazione non regge, ci sono troppe, troppe coincidenze. A meno che l'attaccante non fosse un (ex-)interno, la serie di pianeti e satelliti che si dovevano allineare affinché la cosa riuscisse era praticamente impossibile da ricostruire per un esterno, anche avesse passato mesi a studiarsi l'azienda e i suoi dipendenti... ci sono target più redditizi cui star dietro con cotanta costanza che un gestore di password dove l'informazione più preziosa, la parola d'accesso, è sicuramente cifrata fin dall'origine client-side.
[cancellato] la serie di pianeti e satelliti che si dovevano allineare affinché la cosa riuscisse era praticamente impossibile da ricostruire per un esterno, anche avesse passato mesi a studiarsi l'azienda e i suoi dipendenti...
In base a cosa sostieni che sia impossibile. Sei forse tu l’insider?
[cancellato] ci sono target più redditizi cui star dietro con cotanta costanza che un gestore di password dove l'informazione più preziosa, la parola d'accesso, è sicuramente cifrata fin dall'origine client-side.
LastPass è un target redditizio perché per anni gli hash delle casseforti sono stati protette con poche iterazioni (informazione non segreta nota da anni), quindi è plausibile che certo numero di queste appartenenti a utenti con password deboli vengano decriptate. Inoltre LastPass non cripta gli URL dei siti salvati, quindi gli hacker posso dare la priorità alle casseforti con credenziali di altro valore come *.gov o forum.fibra.click.
Marco25 In base a cosa sostieni che sia impossibile.
È come chi, in questo forum, dice e ridice che se ti hanno hackerato Instagram/whatsapp non è colpa dell'utente che ha inviato il codice di autorizzazione a 2 fattori alla amica con Instagram hackerato con il classico messaggio "mi hanno bloccato Instagram/WhatsApp, mi serve il codice che hai ricevuto", ma è stato un astuto cloning di sessioni del browser/chissache che ha interessato solo i social del gruppo Meta, ma non la banca o l'abbonamento premium a un sito a luci rosse.
Marco25 LastPass è un target redditizio perché per anni gli hash delle casseforti sono stati protette con poche iterazioni (informazione non segreta nota da anni), quindi è plausibile che certo numero di queste appartenenti a utenti con password deboli vengano decriptate. Inoltre LastPass non cripta gli URL dei siti salvati, quindi gli hacker posso dare la priorità alle casseforti con credenziali di altro valore come *.gov o forum.fibra.click.
Ma secondo te la gente ha realmente tempo da perdere per credenziali del genere? Una volta che le hai cosa te ne fai? Devi avere username, sito, magari codici 2fa e di tutto e di più, per cosa? Hackerare il forum? Una banca con qualche k di euro? Che molto probabilmente anche se li fregi ne ricevi 1/10...
simonebortolin È come chi, in questo forum, dice e ridice che se ti hanno hackerato Instagram...
Non capisco cosa vuoi dire.
simonebortolin Ma secondo te la gente ha realmente tempo da perdere per credenziali del genere?
Sì. Ritengo che dei criminali informatici abbiano tutto l'interesse a mettere le mani su dati di accesso di milioni di clienti, specialmente quelli business.
simonebortolin Una volta che le hai cosa te ne fai? Devi avere username, sito, magari codici 2fa e di tutto e di più, per cosa?
Ehm, nelle casseforti ci sono proprio quei dati (anzi gli URL sono già disponibili).
[cancellato]
Marco25 per anni gli hash delle casseforti sono stati protette con poche iterazioni (informazione non segreta nota da anni), quindi è plausibile che certo numero di queste appartenenti a utenti con password deboli vengano decriptate.
Direi senza timore di smentita che non hai la più pallida idea dell'ordine di difficoltà di una cosa che tu reputi "plausibile" e "banale".
La mia password lastpass è sicura, il problema è che non posso accedere neanche io al mio account perché l'email associata non esiste più