Si tratta di un attacco che ha violato 4.4M nelle ultime ore ma che secondo altre fonti è solo l'ultimo di una lunga serie di attacchi che hanno causato oltre $35M di perdite.

Come è stato orchestrato l'attacco?

L'attacco è stato orchestrato attraverso l'uso di chiavi private e frasi d'accesso memorizzate nei database di LastPass rubati, permettendo agli hacker di rubare criptovalute. In particolare, nel 2022 LastPass ha subito due intrusioni che hanno consentito agli attori minacciosi di rubare il codice sorgente, i dati dei clienti e i backup di produzione conservati nei servizi cloud, inclusi gli archivi password crittografati. Tuttavia, solo i clienti che conoscevano la password principale potevano decrittografare questi archivi. È stato consigliato ai clienti con password più deboli di reimpostare la password principale per garantire la sicurezza dei loro archivi.

Cosa è successo a LastPass nel 2022?

L'attacco a LastPass nel 2022 ha visto una serie di eventi chiave. Inizialmente, nel marzo 2023, LastPass ha fornito un aggiornamento su un incidente di sicurezza che era stato precedentemente divulgato il 22 dicembre 2022, indicando che non era stata rilevata alcuna attività da parte degli attori minacciosi dal 26 ottobre 2022​1​. In un aggiornamento separato di dicembre 2022, LastPass ha rivelato che un attore minaccioso sconosciuto aveva accesso a un ambiente di archiviazione basato su cloud, sfruttando le informazioni ottenute dall'incidente precedentemente divulgato nell'agosto 2022​2​.

Il 30 novembre 2022, per la prima volta, LastPass ha riconosciuto che i dati dei clienti erano stati compromessi a seguito dell'incidente di agosto. Hanno determinato che una parte non autorizzata, utilizzando le informazioni ottenute nell'incidente di agosto 2022, era stata in grado di accedere a certi elementi delle informazioni dei clienti​3​. Inoltre, il 2 dicembre 2022, LastPass ha annunciato che stava indagando su un incidente di sicurezza dopo un accesso "non autorizzato", segnalando che era la seconda volta in quell'anno che LastPass era stato violato​4​.

Questi dettagli evidenziano una serie di intrusioni e la scoperta graduale dell'ampiezza delle compromissioni di sicurezza subite da LastPass nel corso dell'anno 2022.

Il caso scoppia adesso ma c'erano state già delle avvisaglie

Alcuni esperti ritengono che i malintenzionati siano riusciti a decrittografare alcuni di questi archivi. Hanno identificato un filo comune tra le vittime: tutte avevano utilizzato LastPass per memorizzare la loro "frase segreta", una chiave privata necessaria per accedere ai loro investimenti in criptovaluta. L'analisi ha rivelato che il furto di oltre $35 milioni in cripto da più di 150 vittime confermate è collegato a questo attacco. Inoltre, una parte dell'attacco ha coinvolto un assalto mirato a un ingegnere DevOps di LastPass, sfruttando una vulnerabilità in un software media di terze parti sul computer domestico dell'ingegnere, permettendo l'esecuzione remota di codice e l'installazione di malware keylogger per catturare la password maestra dell'ingegnere.

Suggerimenti per gli utenti di LastPass

Usare dei gestori di password online è sempre un compromesso tra comodità e sicurezza. In particolare se poi ci affidiamo a questi servizi per la memorizzazione di chiavi private il rischio è ancora maggiore. Qui una serie di consigli da seguire.

  1. Cambiare tutte le password memorizzate in LastPass, in particolare la password maestra.

  2. Considerare la migrazione a un altro gestore di password o l'uso di dispositivi hardware di sicurezza come Trezor o Ledger per memorizzare le frasi segrete della criptovaluta.

  3. Verificare e aggiornare regolarmente i software per evitare vulnerabilità note.

  4. Evitare di memorizzare le frasi segrete per l'accesso alle criptovalute in gestori di password online, optando invece per soluzioni offline.

  5. Mantenere una vigilanza continua su qualsiasi attività sospetta relativa ai propri conti e investimenti in criptovaluta.