Aggiornamento sulla violazione di LastPass – 22 agosto – 22 dicembre

Aggiornamento 26 del 3 gennaio:

CyberHoot ha redatto una nuova Articolo di LastPass: Ultima goccia per LastPass separatamente con criteri per la scelta di un gestore di password sostitutivo.

Aggiornamento 23 del 2022 dicembre 2:

La sicurezza nuda lo ha fatto Questo articolo Descrivendo dettagliatamente la loro opinione sulla violazione di LastPass e l'ammissione del furto di vault crittografati. Offrono commenti e spunti utili. Questo ha fatto riflettere CyberHoot ancora di più...

Abbiamo memorizzato i dati della nostra carta di credito in LastPass per semplificare la compilazione dei moduli. Annulleremo e riemetteremo le nostre carte di credito? Personalmente, non lo farò. La mia password principale era così lunga e complessa che lo sforzo necessario per decifrarla, secondo questo... Misuratore di forza della password del sito web era: 7 quadrilioni di anni, uff! Che sollievo.

23 dicembre 2022: aggiornamento sulla violazione di LastPass di CyberHoot:

LastPass ha rilasciato nuove informazioni sul suo ultimo annuncio di violazione del 30 novembre, in cui il monitoraggio ha identificato una nuova violazione (collegata a quella di agosto). In questo aggiornamento del 12/22/2022, l'azienda ammette di ritenere che gli archivi di password dei clienti crittografati con AES a 256 bit siano stati rubati da terze parti. È la prima volta che riconosce che i dati dei clienti sono a rischio. Ecco il loro punto di vista sulla situazione:

22 dicembre, aggiornamento del blog LastPass:  

Se utilizzi le impostazioni predefinite sopra indicate, ci vorrebbero milioni di anni per indovinare la tua password principale utilizzando la tecnologia di cracking delle password generalmente disponibile. I dati sensibili del tuo vault, come nomi utente e password, note sicure, allegati e campi di compilazione dei moduli, rimangono crittografati in modo sicuro grazie all'architettura Zero Knowledge di LastPass. Al momento non ci sono azioni consigliate da intraprendere.

Tuttavia, è importante notare che se la password principale non utilizza le impostazioni predefinite sopra indicate, si ridurrà significativamente il numero di tentativi necessari per indovinarla correttamente. In questo caso, come ulteriore misura di sicurezza, si consiglia di ridurre al minimo il rischio modificando le password dei siti web memorizzati.

Quindi, cosa significa questo per tutti voi utenti di LastPass, o per le aziende che hanno implementato LastPass per i propri utenti? Un sacco di lavoro, in realtà.

Valutazione dell'impatto di CyberHoot:

Il nostro personale sa che quanto segue è vero: in molti degli ambienti LastPass che abbiamo supervisionato nell'ultimo decennio, nonostante i nostri video di formazione e le nostre policy sulle password richiedano password di almeno 14 caratteri (2 in più rispetto alle impostazioni predefinite di LastPass), abbiamo visto molte password master che erano DEBOLE. Pertanto, data la generale mancanza di una solida igiene delle password in generale, queste nuove informazioni sulla violazione di LastPass richiedono a CyberHoot di fornire le seguenti raccomandazioni a chiunque utilizzi LastPass personalmente o in azienda:

1. Informa i tuoi utenti di questa violazione e affermare quanto segue: “Calcola la lunghezza della tua password oggi stesso. Se hai utilizzato una password principale più corta di 12 caratteri, devi cambiarla oggi stesso."
2. Se avessi una password principale di 12 o più caratteri, potresti comunque seguire i consigli qui sotto, ma non crediamo che siano necessari al 100%. Puoi ANDARE AL PASSO 3.3. Tuttavia, se la tua password fosse più corta, in particolare se lunga 8 o 9 caratteri, o se fosse più corta, vai al passo 3.
3. Se stai modificando la tua password principale a causa del consiglio n. 1 sopra, allora fallo anche OGNUNO DEI seguenti:
   1. 1. Rendi la nuova password principale una passphrase lunga da 14 a 20 caratteri! Guarda questo Video sulle password e le passphrase di CyberHoot per consigli utili.
      2. Cambia le password di TUTTI i TUOI ACCOUNT CRITICI memorizzati nel tuo Vault Password[Nota: sì, sentiamo il lamento collettivo su questo suggerimento. Fatelo comunque.] Il motivo è che se avete una password breve che potrebbe essere soggetta a un attacco di forza bruta, tutte le vostre password potrebbero essere a rischio. Avete un breve lasso di tempo prima che gli hacker di LastPass possano teoricamente prendere di mira il vostro Vault e forzare il vostro account. Pertanto, per eccesso di cautela, modificate tutte le password critiche dei vostri account per proteggerle da eventuali compromissioni.Suggerimento CyberHoot: Cambia prima la password della tua email se non è associata all'autenticazione a più fattori (MFA).
      3. Abilita l'accesso multifattoriale al tuo Vault password LastPass.  Utilizza un'app di autenticazione (non deve essere necessariamente LastPass Authenticator). Le app di autenticazione sono più sicure dell'autenticazione a più fattori tramite messaggistica di testo.Nota di CyberHoot: abilitare l'MFA NON serve a nulla per proteggere i vault rubati in questa violazione di LastPass. I ladri cercheranno di accedere ai vault delle password sfruttando esclusivamente la robustezza (lunghezza) della password principale impostata.
4. Questo passaggio vale per TUTTI. Abilitare Autenticazione a più fattori (MFA), utilizzando un'app di autenticazione o, se sei davvero un fanatico della sicurezza, un Yubikey token hardware, su tutti i tuoi account online che supportano l'autenticazione a più fattori (MFA). Questo impedirebbe persino che una violazione di LastPass comprometta i tuoi account protetti da MFA. L'autenticazione a più fattori è tua amica. A volte può sembrare una seccatura, ma la verità è che il dolore di una compromissione è molto peggiore.  Fallo oggi stesso.

Fattibilità di CyberHoot LastPass:  Q: CyberHoot ritiene che LastPass sia una soluzione praticabile, considerata questa violazione e le precedenti violazioni a cui ha dovuto far fronte?

Risposta: Non possiamo rispondere a questa domanda. Per Cyberhoot, continueremo a utilizzare LastPass, poiché a questo punto ne siamo pienamente responsabili. Le nostre password master sono MOLTO PIÙ LUNGHE di 12 caratteri, rendendo improbabile che il furto del nostro caveau possa rivelare qualcosa agli hacker in questione. Inoltre, per quanto doloroso sia stato questo episodio per LastPass, dimostra il loro impegno per la trasparenza e la sicurezza.  Sarebbe stato potenzialmente molto più facile per loro nascondere l'incidente sotto il tappeto.  Non l'hanno fatto. Vogliamo un'azienda trasparente. Che ammetta gli errori quando si verificano. Che disponga di un monitoraggio avanzato per individuare gli eventi di sicurezza (come hanno fatto in questo caso). E che ne riferisca in modo onesto e trasparente. Concluderemo con una dichiarazione che l'FBI è stata citata a lungo perché si applica a TUTTE le aziende e a TUTTI i fornitori di software di gestione delle password.

"Ci sono due tipi di aziende in questo mondo: quelle che sanno di essere state hackerate e quelle che non lo sanno.

Sappiamo quando e come LastPass è stato hackerato. Sappiamo se altri fornitori di gestori di password sono stati hackerati?

Trasparenza totale:  CyberHoot non ha guadagnato un solo centesimo da LastPass in alcun modo, né tramite programmi di referral né tramite altri canali. Probabilmente abbiamo lasciato sul tavolo migliaia di dollari di referral perché desideriamo rimanere a distanza di sicurezza per quanto riguarda i nostri report.

Fonti:

Articolo di Naked Security del 23 dicembre sulla violazione di LastPass

Blog di LastPass che descrive la violazione e la loro risposta

Proteggi il tuo business con CyberHoot oggi stesso!!!

Iscriviti ora