• Off-topicNews

  • Casseforti di LastPass sottratte nel recente data breach

[cancellato] Direi senza timore di smentita che vivi in una bolla nella quale tutti gli utenti sono talmente diligenti da usare master password random con 128 bit di entropia, non la riutilizzano su più siti e la cambiano in caso di data breach.

https://palant.info/2022/12/26/whats-in-a-pr-statement-lastpass-breach-explained/ (enfasi mia)

"Since 2018, we have required a twelve-character minimum for master passwords. This greatly minimizes the ability for successful brute force password guessing."

If you are a LastPass customer, chances are that you are completely unaware of this requirement. That’s because LastPass didn’t ask existing customers to change their master password. I had my test account since 2018, and even today I can log in with my eight-character password without any warnings or prompts to change it.

So LastPass required twelve characters for the past four years, but a large portion of their customer base likely still uses passwords not complying with this requirement. And LastPass will blame them should their data be decrypted as a result.

P.S. CTRL-F, b a n a l e, nessun risultato trovato.

      • [cancellato]

      • Messaggio #122

      Marco25 Te lo ripeto, non è così facile come la fai tu. Sono milioni di clienti, ognuno con una master password diversa (anche se corta), con salt diverso minimo per ogni account (se non per ogni voce nella cassaforte, non ho indagato a fondo e non me ne frega, non uso lastpass), anche fosse una PBKDF da qualche migliaia di iterazioni significa che per ogni stringa generata di cui vuoi provare il brute force devi calcolare migliaia e migliaia di trasformazioni chiave, e a seconda di come è memorizzata non è detto che ci sia una forma algoritmica per dire se la chiave con cui decifri il BLOB binario sia quella corretta oppure no (se vengono usate password con caratteri casuali e non su parole dizionario, ad esempio... e alcuni algoritmi non salvano necessariamente delle checksum di verifica, una trasformazione con chiave trasforma input in output, non è "senziente").

      Te lo scrivo per l'ultima volta, quel che leggi va pesato, compreso e capito, altrimenti non sei diverso dai giornalari che riportano le notizie con il CTRL+C/CTRL+V.

      Il banale si intuiva dal tuo tono della frase, non serve che si scriva tutto per capire cosa uno vuol dire.

          • [cancellato]

          • Messaggio #123

          Mah, senza più dettagli è impossibile sapere se è stato un caso di spearphishing o qualcosa del genere, magari organizzato con un po' di osint - c'è chi posta troppe informazioni riguardo a sé stesso. Oppure se il problema è stato un altro. Comunque LastPass non ci esce bene in nessun caso - è chiaro che ha policy di sicurezza lasche e non è un OTP a metterti al sicuro, per di più se "2FA" significa solo Google Auth e non magari un token crittografico. DevOps poi non è una scusa per lavorare male - anzi, visto che le barriere fra sviluppo e produzione sono anche più sottili, richiede personale con la testa sulle spalle, e "agile" non significa "fragile".

          [cancellato] Te lo ripeto, non è così facile come la fai tu.

          Non ho mai scritto fosse facile, ma plausibile.

          [cancellato] Sono milioni di clienti, ognuno con una master password diversa (anche se corta)

          Ognuno con una master password diversa. Seriamente?

          [cancellato] per ogni stringa generata di cui vuoi provare il brute force devi calcolare migliaia e migliaia di trasformazioni chiave

          La password puoi prenderla anche da data breach passati e nell'articolo alcuni testimoniano iterazioni pari a 500 e 1 (U N O).

          La mia master password era "password" (una delle 10 più usate in assoluto), che uso su vari siti già violati secondo HIBP. Una volta venuto a sapere del data breach ho pensato di cambiare tutte le password. Alla luce dei tuoi interventi mi sono dovuto ricredere, confido che le iterazioni di PBKDF2 mi salveranno.

                Marco25 Non capisco cosa vuoi dire.

                Se hai un attimo di memoria sai benissimo cosa voglio dire, di chi (non tu) ha insinuato che per hackerare un account di un social network meta di una ragazza che si e no ha un pc è stato fatto un session cloning + spoofing dell'hardware per evitare che vengano resettate la sessione che viene hashata sulla base dell'hardware... (cosa fattibile forse se hai la configurazione del pc in bella vista sulla tua bio su quiche forum o su yt come qualche youtuber a cui è accaduto, impossibile per il gregge...). Ma questo non una volta, almeno 2-3, ed in una sei intervenuto pure...
                Per effettuare un hackeraggio del genere perdi ore ed ha senso solo se si tratta di persone famose... (riassunto solo youtuber e gli influencer devono preoccuparsi di questo attacco, non la gente comune... Ma tanti non lo vogliono capire e fanno strane teorie...)

                Ora se dobbiamo catalogare questa teoria pubblica di last pass rientra tra le strane o le classiche? È ovvio che rientra nelle strane e se fosse vera la Teoria significa che o l'hacker sapeca che nei dati fregati da lastpass c'è qualcosa di molto più importante di migliaia di password (perché una volta che hai migliaia di password anche se le Filtri tutte con la ai te ne restano migliaia di account da entrare di "cool", magari pure con la 2FA e non hai modod di filtrare) tipo o le foto della sua fidanzata che lo tradisce o segreti dell'area 51 o quella teoria non stai piedi.

                Marco25 Ehm, nelle casseforti ci sono proprio quei dati (anzi gli URL sono già disponibili).

                Si ma non i codici 2fa, poi in genere si salva si salva l'url mappato con una funzione difficilmente reversibile e tanti altri accorgimenti che rendono più difficile trovare l'account.

                Marco25 Sì. Ritengo che dei criminali informatici abbiano tutto l'interesse a mettere le mani su dati di accesso di milioni di clienti

                Non c'è ne fanno nulla di milioni di dati (mica li devono mettere su grafana e fare statistiche delle password!), loro vogliono pochi dati che ti fan entrare da qualche parte:

                Se tu hai la possibilità di hackerare il database del personale di un ateneo o quello degli studenti perché decidi di hackerare prorpio il primo? La risposta è ovvia ma la lascio al lettore.

                • Marco25 ha risposto a questo messaggio

                        simonebortolin Gli hacker hanno già adesso accesso agli URL di tutti i siti web per i quali sono salvate credenziali, sarà la terza volta che lo scrivo. Con questi dati possono creare phishing personalizzato se non vogliono sprecare tempo GPU a decriptare le casseforti. Certamente non prenderanno di mira utenti a caso ma la conoscenza dei siti permetterà di scremare il database escludendo gli utenti poco "interessanti". Rimango dell'idea che il consiglio per l'utente comune di LastPass sia eccedere di prudenza e cambiare master password e tutte le password salvate nella cassaforte.

                            Marco25 Gli hacker hanno già adesso accesso agli URL di tutti i siti web per i quali sono salvate credenziali, sarà la terza volta che lo scrivo.

                            Lo ho capito, ma anche se lo hanno? che fanno una regex [a-zA-Z1-9.-]*.gov[a-zA-Z1-9.-]* come hai ipotizzato? quanti ne scremi? passi da miliardi a miliardi, non scremi nulla, non otteni nulla, non filtri nulla, ora poi non so l'implementazione che dici tu, cosa che anche se "non segreta da anni" dubito che sia così banale, saranno pure in chiaro ma ci saranno hash o simili, suvvia... Ci sarà un sistema, che lo ha fin il password manager di chrome che fa si che ci sia una mappatura da A->B fattibile sapendo la funzione di hash, e per fare da B->A devi navigarti tutti gli A alla ricerca di quella corretta (è una implementazione banalissima ed anche fattibile con un tempo accettabile)

                            Marco25 LastPass è un target redditizio perché per anni gli hash delle casseforti sono stati protette con poche iterazioni (informazione non segreta nota da anni), quindi è plausibile che certo numero di queste appartenenti a utenti con password deboli vengano decriptate. Inoltre LastPass non cripta gli URL dei siti salvati, quindi gli hacker posso dare la priorità alle casseforti con credenziali di altro valore come *.gov o forum.fibra.click.

                            Il punto è che anche se assumiamo per vero ciò che affermi l'hacker si trova miliardi di passowrd, username e siti internet dove sì può fare il login, magari facilmente ma sono M I L I A R D I (quante volte te lo ho ripetuto, sarà la 20esima volta che lo scrivo, rispondiamo a modo eh...), e come li scremi? fai un tool che testa tutto e fa statistiche su grafana? Perdi più tempo a fare questo che altro, gli hacker cercano pochi dati ma utili (chessò la foto della propria ragazza che lo tradisce, la password di instagram della ferragni, ...), possibile che continui a dire che non riesci a capire che

                            Marco25 ma la conoscenza dei siti permetterà di scremare il database escludendo gli utenti poco "interessanti"

                            Sia infattibile, è un problema che non terminerà mai, è un Halting problem, perché anche se scremi tutte le chiara|francesca ferragni otterrai un sacco di account fake, magari (spero) pure account creati da una AI ideata da LastPass per rendere più sicuro il proprio database, per esempio una ottima strategia di sicurezza è innondare il database di dati fake inutili (nulla è più facile da nascondere di un ago in un pagliaio), fattibile da chiunque anche con basse comptentenze informatiche e spero che LastPass usi una strategia del genere, per aumentare l'entropia dei dati...

                            Marco25 Rimango dell'idea che il consiglio per l'utente comune di LastPass sia eccedere di prudenza e cambiare master password e tutte le password salvate nella cassaforte.

                            Sì di sicuro è un ottimo consiglio, molto probabilmente solamente per avere un eccesso di sicurezza, dubito che serva così tanto cambiarle...

                            Principalmente vedo comunque da tantissime persone una carenza di una nozione fondamentale: la sicurezza di un account deve essere proporzionale alla possibilità di hackeraggio del suddetto account, la sicurezza dell'account instagram della ferragni deve essere superiore al mio account bancario, che a sua volta deve essere maggiore di quello del mio account su fibra click, e ragionare senza questa nozione fondamentale ti fa falsare la percezione del pericolo, che nel caso di un databreanch di lastpass è prossima ad 1e-1000

                                    6 mesi dopo

                                    Da dicembre 2022, oltre 150 utenti hanno subito furti di criptomonete dai loro wallet, la maggior parte di questi accomunati dall'aver salvato la frase di recupero nella cassaforte di LastPass: https://krebsonsecurity.com/2023/09/experts-fear-crooks-are-cracking-keys-stolen-in-lastpass-breach/.

                                    Penso sia del tutto plausibile che siano state decriptate delle casseforti LastPass, possibilmente prendendo di mira utenti con credenziali di siti per criptomonete (gli URL sono in chiaro) e basso numero di iterazioni.

                                    Del resto, perché rubare le casseforti, quindi una quantità non indifferente di dati, rischiando di far suonare allarmi, se non per trarne profitto?

                                      • [cancellato]

                                      • Messaggio #129
                                      • Modificato

                                      Marco25

                                      Sinceramente non terrei online le credenziali della mia banca che ha 2FA... meno ancora quelle di un sistema senza. Dimostrazione comunque che attaccare questi sistemi può essere pagante - tante uova (di pasqua) nello stesso paniere.

                                        Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                        P.I. IT16712091004 - info@fibraclick.it

                                        ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile