ale_prince io sono corso ai ripari passando a 1Password + YubiKey.
Se presenti l'ultima fattura LastPass ti applicano il 50% di sconto per 12 mesi. 
Casseforti di LastPass sottratte nel recente data breach
Cr4z33 Lo sconto è proporzionale a quanto è recente la sottoscrizione di LastPass, la mia era di fine Novembre, abbonamento fatto a 1Password due settimane fa con sconto del 90% circa.
La cosa triste è che io sono passato da 1Passord a LastPass qualche anno fa, malvoluto non è mai troppo.....
Quale modello di Yubikey usi?
un mese dopo
Aggiornamento da LastPass. Gli hacker avrebbero sfruttato una vulnerabilità in un software di riproduzione file multimediali, installato malware sul computer di un dipendente e infine letto la password della cassaforte LastPass per estrarre la chiave di cifratura dei backup: https://support.lastpass.com/help/incident-2-additional-details-of-the-attack.
This was accomplished by targeting the DevOps engineer’s home computer and exploiting a vulnerable third-party media software package, which enabled remote code execution capability and allowed the threat actor to implant keylogger malware. The threat actor was able to capture the employee’s master password as it was entered, after the employee authenticated with MFA, and gain access to the DevOps engineer’s LastPass corporate vault
[cancellato]
Marco25 Gli hacker avrebbero sfruttato una vulnerabilità in un software di riproduzione file
Gli hacker hanno sfruttato la vulnerabilità di un cattivo sviluppatore - che per di più doveva essere "senior" - che usava la stessa macchina per due attività con notevoli diversi livelli di sicurezza, essendo suddetto sviluppatore uno dei quattro che aveva accesso alle credenziali più elevate. Un altro caso di DevOooooops! E LastPass è colpevole se 1) non gli ha fornito un PC di lavoro 2) non l'ha obbligato ad usarlo. BYOD è sinonimo di Bring Your Own Vulnerabilities.
A meno che questo non sia lo "scapegoat" per nascondere che si sono fatti bucare in altro modo.
[cancellato]
[cancellato] DevOooooops!
Purtroppo è sempre più pane quotidiano per tutte le più grandi aziende dell'informatica (e non solo le più grandi)... pare che di far cappellate e di perdere la faccia non importi più nulla a nessuno, butta su che c'è da fare in fretta, poi sistemiamo e rifacciamo due volte, o tre, la stessa cosa. Male, ovviamente, ammesso ci sia budget per sistemarla e non sia stato dirottato per la nuoverrima boiata commerciale.
[cancellato] BYOD è sinonimo di Bring Your Own Vulnerabilities.
Ma anche Bring Your Own Deficiencies francamente.
[cancellato] A meno che questo non sia lo "scapegoat" per nascondere che si sono fatti bucare in altro modo.
Ho paura anch'io che sia una mossa di copertura. Voglio dire, chi diavolo può arrivare a sapere che il tizio X, che usa il software Y (non aggiornato, nella versione con una RCE) che non c'azzecca niente con il lavoro, su una postazione personale, che viene bucata proprio quando viene usata casualmente a quanto sembra una volta per una operazione di lavoro, riesce proprio in quel momento a prendere il controllo, rubare credenziali (!!!) di un bucket S3 (a trovarlo, mica AZ ne ha uno solo...) che guardacaso conteneva i dump di backup del database... Aoh, questo c'aveva meno probabilità di fare due sei di fila al superenalotto senza giocare la schedina che incasellare tutte queste coincidenze.
[cancellato] Ho paura anch'io che sia una mossa di copertura. Voglio dire, chi diavolo può arrivare a sapere che il tizio X, che usa il software Y (non aggiornato, nella versione con una RCE) che non c'azzecca niente con il lavoro, su una postazione personale, che viene bucata proprio quando viene usata casualmente a quanto sembra una volta per una operazione di lavoro, riesce proprio in quel momento a prendere il controllo, rubare credenziali
Secondo te gli hacker passavano lì per caso e hanno trovato uno ingegnere di LastPass? Avranno fatto un lungo lavoro di ricognizione prima di procedere (fonti di ArsTechnica sostengono si trattasse di Plex che nello stesso periodo ha sofferto un data breach).
Se avessi voluto nascondere il vero motivo del data breach non avrei certamente portato alla stampa una storia così imbarazzante di un ingegnere con accesso estremamente privilegiato che esegue Plex sul PC di lavoro. Avrei taciuto o inventato un attacco più sofisticato.
Marco25 A me sembra che questo annuncio sembra proprio rientrare nella categoria da te descritta "o inventato un attacco più sofisticato"
i signori della truffa 2
[cancellato]
Marco25 inventato un attacco più sofisticato
È proprio questo secondo me il caso, hanno tentato di scaricare la colpa su Plex che era bucato per dire "noi c'avevamo tuttt'apppposto signò ma ci hanno bucati per colpa sua", che poi tutto a posto non era per le ragioni che ha espresso anche [cancellato] .
Marco25 Secondo te gli hacker passavano lì per caso e hanno trovato uno ingegnere di LastPass? Avranno fatto un lungo lavoro di ricognizione prima di procedere
Che secondo te non lo so? 
Il problema è che quel castello di carte che hanno costruito per dare la spiegazione non regge, ci sono troppe, troppe coincidenze. A meno che l'attaccante non fosse un (ex-)interno, la serie di pianeti e satelliti che si dovevano allineare affinché la cosa riuscisse era praticamente impossibile da ricostruire per un esterno, anche avesse passato mesi a studiarsi l'azienda e i suoi dipendenti... ci sono target più redditizi cui star dietro con cotanta costanza che un gestore di password dove l'informazione più preziosa, la parola d'accesso, è sicuramente cifrata fin dall'origine client-side.
[cancellato] la serie di pianeti e satelliti che si dovevano allineare affinché la cosa riuscisse era praticamente impossibile da ricostruire per un esterno, anche avesse passato mesi a studiarsi l'azienda e i suoi dipendenti...
In base a cosa sostieni che sia impossibile. Sei forse tu l’insider?
[cancellato] ci sono target più redditizi cui star dietro con cotanta costanza che un gestore di password dove l'informazione più preziosa, la parola d'accesso, è sicuramente cifrata fin dall'origine client-side.
LastPass è un target redditizio perché per anni gli hash delle casseforti sono stati protette con poche iterazioni (informazione non segreta nota da anni), quindi è plausibile che certo numero di queste appartenenti a utenti con password deboli vengano decriptate. Inoltre LastPass non cripta gli URL dei siti salvati, quindi gli hacker posso dare la priorità alle casseforti con credenziali di altro valore come *.gov o forum.fibra.click.
Marco25 In base a cosa sostieni che sia impossibile.
È come chi, in questo forum, dice e ridice che se ti hanno hackerato Instagram/whatsapp non è colpa dell'utente che ha inviato il codice di autorizzazione a 2 fattori alla amica con Instagram hackerato con il classico messaggio "mi hanno bloccato Instagram/WhatsApp, mi serve il codice che hai ricevuto", ma è stato un astuto cloning di sessioni del browser/chissache che ha interessato solo i social del gruppo Meta, ma non la banca o l'abbonamento premium a un sito a luci rosse.
Marco25 LastPass è un target redditizio perché per anni gli hash delle casseforti sono stati protette con poche iterazioni (informazione non segreta nota da anni), quindi è plausibile che certo numero di queste appartenenti a utenti con password deboli vengano decriptate. Inoltre LastPass non cripta gli URL dei siti salvati, quindi gli hacker posso dare la priorità alle casseforti con credenziali di altro valore come *.gov o forum.fibra.click.
Ma secondo te la gente ha realmente tempo da perdere per credenziali del genere? Una volta che le hai cosa te ne fai? Devi avere username, sito, magari codici 2fa e di tutto e di più, per cosa? Hackerare il forum? Una banca con qualche k di euro? Che molto probabilmente anche se li fregi ne ricevi 1/10...
simonebortolin È come chi, in questo forum, dice e ridice che se ti hanno hackerato Instagram...
Non capisco cosa vuoi dire.
simonebortolin Ma secondo te la gente ha realmente tempo da perdere per credenziali del genere?
Sì. Ritengo che dei criminali informatici abbiano tutto l'interesse a mettere le mani su dati di accesso di milioni di clienti, specialmente quelli business.
simonebortolin Una volta che le hai cosa te ne fai? Devi avere username, sito, magari codici 2fa e di tutto e di più, per cosa?
Ehm, nelle casseforti ci sono proprio quei dati (anzi gli URL sono già disponibili).
[cancellato]
Marco25 per anni gli hash delle casseforti sono stati protette con poche iterazioni (informazione non segreta nota da anni), quindi è plausibile che certo numero di queste appartenenti a utenti con password deboli vengano decriptate.
Direi senza timore di smentita che non hai la più pallida idea dell'ordine di difficoltà di una cosa che tu reputi "plausibile" e "banale".
La mia password lastpass è sicura, il problema è che non posso accedere neanche io al mio account perché l'email associata non esiste più
[cancellato] Direi senza timore di smentita che vivi in una bolla nella quale tutti gli utenti sono talmente diligenti da usare master password random con 128 bit di entropia, non la riutilizzano su più siti e la cambiano in caso di data breach.
https://palant.info/2022/12/26/whats-in-a-pr-statement-lastpass-breach-explained/ (enfasi mia)
"Since 2018, we have required a twelve-character minimum for master passwords. This greatly minimizes the ability for successful brute force password guessing."
If you are a LastPass customer, chances are that you are completely unaware of this requirement. That’s because LastPass didn’t ask existing customers to change their master password. I had my test account since 2018, and even today I can log in with my eight-character password without any warnings or prompts to change it.
So LastPass required twelve characters for the past four years, but a large portion of their customer base likely still uses passwords not complying with this requirement. And LastPass will blame them should their data be decrypted as a result.
P.S. CTRL-F, b a n a l e, nessun risultato trovato.
[cancellato]
Marco25 Te lo ripeto, non è così facile come la fai tu. Sono milioni di clienti, ognuno con una master password diversa (anche se corta), con salt diverso minimo per ogni account (se non per ogni voce nella cassaforte, non ho indagato a fondo e non me ne frega, non uso lastpass), anche fosse una PBKDF da qualche migliaia di iterazioni significa che per ogni stringa generata di cui vuoi provare il brute force devi calcolare migliaia e migliaia di trasformazioni chiave, e a seconda di come è memorizzata non è detto che ci sia una forma algoritmica per dire se la chiave con cui decifri il BLOB binario sia quella corretta oppure no (se vengono usate password con caratteri casuali e non su parole dizionario, ad esempio... e alcuni algoritmi non salvano necessariamente delle checksum di verifica, una trasformazione con chiave trasforma input in output, non è "senziente").
Te lo scrivo per l'ultima volta, quel che leggi va pesato, compreso e capito, altrimenti non sei diverso dai giornalari che riportano le notizie con il CTRL+C/CTRL+V.
Il banale si intuiva dal tuo tono della frase, non serve che si scriva tutto per capire cosa uno vuol dire.
[cancellato]
Mah, senza più dettagli è impossibile sapere se è stato un caso di spearphishing o qualcosa del genere, magari organizzato con un po' di osint - c'è chi posta troppe informazioni riguardo a sé stesso. Oppure se il problema è stato un altro. Comunque LastPass non ci esce bene in nessun caso - è chiaro che ha policy di sicurezza lasche e non è un OTP a metterti al sicuro, per di più se "2FA" significa solo Google Auth e non magari un token crittografico. DevOps poi non è una scusa per lavorare male - anzi, visto che le barriere fra sviluppo e produzione sono anche più sottili, richiede personale con la testa sulle spalle, e "agile" non significa "fragile".
[cancellato] Te lo ripeto, non è così facile come la fai tu.
Non ho mai scritto fosse facile, ma plausibile.
[cancellato] Sono milioni di clienti, ognuno con una master password diversa (anche se corta)
Ognuno con una master password diversa. Seriamente?
[cancellato] per ogni stringa generata di cui vuoi provare il brute force devi calcolare migliaia e migliaia di trasformazioni chiave
La password puoi prenderla anche da data breach passati e nell'articolo alcuni testimoniano iterazioni pari a 500 e 1 (U N O).
La mia master password era "password" (una delle 10 più usate in assoluto), che uso su vari siti già violati secondo HIBP. Una volta venuto a sapere del data breach ho pensato di cambiare tutte le password. Alla luce dei tuoi interventi mi sono dovuto ricredere, confido che le iterazioni di PBKDF2 mi salveranno.
Marco25 Non capisco cosa vuoi dire.
Se hai un attimo di memoria sai benissimo cosa voglio dire, di chi (non tu) ha insinuato che per hackerare un account di un social network meta di una ragazza che si e no ha un pc è stato fatto un session cloning + spoofing dell'hardware per evitare che vengano resettate la sessione che viene hashata sulla base dell'hardware... (cosa fattibile forse se hai la configurazione del pc in bella vista sulla tua bio su quiche forum o su yt come qualche youtuber a cui è accaduto, impossibile per il gregge...). Ma questo non una volta, almeno 2-3, ed in una sei intervenuto pure...
Per effettuare un hackeraggio del genere perdi ore ed ha senso solo se si tratta di persone famose... (riassunto solo youtuber e gli influencer devono preoccuparsi di questo attacco, non la gente comune... Ma tanti non lo vogliono capire e fanno strane teorie...)
Ora se dobbiamo catalogare questa teoria pubblica di last pass rientra tra le strane o le classiche? È ovvio che rientra nelle strane e se fosse vera la Teoria significa che o l'hacker sapeca che nei dati fregati da lastpass c'è qualcosa di molto più importante di migliaia di password (perché una volta che hai migliaia di password anche se le Filtri tutte con la ai te ne restano migliaia di account da entrare di "cool", magari pure con la 2FA e non hai modod di filtrare) tipo o le foto della sua fidanzata che lo tradisce o segreti dell'area 51 o quella teoria non stai piedi.
Marco25 Ehm, nelle casseforti ci sono proprio quei dati (anzi gli URL sono già disponibili).
Si ma non i codici 2fa, poi in genere si salva si salva l'url mappato con una funzione difficilmente reversibile e tanti altri accorgimenti che rendono più difficile trovare l'account.
Marco25 Sì. Ritengo che dei criminali informatici abbiano tutto l'interesse a mettere le mani su dati di accesso di milioni di clienti
Non c'è ne fanno nulla di milioni di dati (mica li devono mettere su grafana e fare statistiche delle password!), loro vogliono pochi dati che ti fan entrare da qualche parte:
Se tu hai la possibilità di hackerare il database del personale di un ateneo o quello degli studenti perché decidi di hackerare prorpio il primo? La risposta è ovvia ma la lascio al lettore.