Se hai mai usato LastPass, dovresti cambiare tutte le tue password ora

I dati personali e i depositi di password contenenti le credenziali di accesso di milioni di utenti sono ora nelle mani dei criminali. Se hai mai usato il gestore di password, LastPass, dovresti cambiare tutte le tue password per tutto, ora. E dovresti prendere immediatamente ulteriori misure per proteggerti.

Cosa è successo nella violazione dei dati LastPass del 2022?

LastPass è un servizio di gestione delle password che opera su un modello “freemium”. Gli utenti possono memorizzare tutte le loro password e accessi per i servizi online con LastPass e accedervi tramite l’interfaccia web, tramite i componenti aggiuntivi del browser e tramite app per smartphone dedicate.

Le password sono memorizzate in “caveau”, protetti da un’unica password principale.

Nell’agosto 2022, LastPass ha annunciato che i criminali avevano utilizzato un account sviluppatore compromesso per accedere all’ambiente di sviluppo, al codice sorgente e alle informazioni tecniche di LastPass.

Ulteriori dettagli sono stati rilasciati nel novembre 2022, quando LastPass ha aggiunto che alcuni dati dei clienti erano stati divulgati.

La vera gravità della violazione è stata rivelata il 22 dicembre, quando un post sul blog di LastPass ha rilevato che i criminali avevano utilizzato alcune delle informazioni ottenute nell’attacco precedente per rubare dati di backup inclusi nomi di clienti, indirizzi e numeri di telefono, indirizzi e-mail, indirizzi IP, e numeri parziali di carte di credito. Inoltre, sono riusciti a rubare i depositi delle password degli utenti contenenti URL di siti Web e nomi di siti non crittografati, nonché nomi utente e password crittografati.

È difficile per i criminali decifrare la tua password principale di LastPass?

In teoria, sì, gli hacker dovrebbero avere difficoltà a decifrare la tua password principale. Il post sul blog LastPass rileva che se si utilizzano le impostazioni consigliate predefinite, “ci vorrebbero milioni di anni per indovinare la password principale utilizzando la tecnologia di cracking delle password generalmente disponibile”.

LastPass richiede che la password principale contenga un minimo di 12 caratteri e consiglia di “non riutilizzare mai la password principale su altri siti Web”.

Tuttavia, LastPass è unico tra i servizi di gestione delle password in quanto consente agli utenti di impostare un suggerimento per la password per ricordare loro la password principale in caso di smarrimento.

In effetti, questo incoraggia gli utenti a utilizzare parole e frasi del dizionario come parte della loro password, piuttosto che una password complessa veramente casuale. Nessun suggerimento per la password ti aiuterà se la tua password è “lVoT=.N]4CmU”.

I depositi di password di LastPass sono nelle mani dei criminali ormai da tempo e, anche se sono crittografati, alla fine saranno soggetti ad attacchi di forza bruta.

Gli aggressori troveranno il loro lavoro più facile grazie all’esistenza di enormi database di password di uso comune. Ad esempio , puoi scaricare un elenco di password da 17 GB che comprende i 613 milioni di password più comuni da haveibeenpwned . Altri elenchi di password e credenziali sono disponibili sul dark web.

Provare ciascuna delle chiavi più comuni di mezzo miliardo contro un singolo caveau richiederebbe minuti e, sebbene i 12 caratteri richiesti siano relativamente pochi, è probabile che i criminali informatici saranno in grado di entrare facilmente in una buona parte dei caveau.

Aggiungete a ciò il fatto che la potenza di calcolo aumenta di anno in anno e che i criminali motivati ​​possono utilizzare reti distribuite per aiutare con lo sforzo; “milioni di anni” non sembra fattibile per la maggior parte dei conti.

La violazione di LastPass riguarda solo le password?

Mentre la notizia principale è che i criminali possono prendersi il loro tempo per entrare nel tuo caveau LastPass, possono approfittare di te in altri modi usando il tuo nome, indirizzo, numero di telefono, indirizzo e-mail, indirizzo IP e numero parziale della carta di credito.

Questi possono essere utilizzati per una serie di scopi nefasti, tra cui attacchi di spearphishing contro di te e i tuoi contatti, furto di identità, contrarre crediti e prestiti a tuo nome e attacchi di scambio di SIM.

Come puoi proteggerti dopo le violazioni dei dati di LastPass?

Dovresti presumere che entro pochi anni la tua password principale verrà compromessa e tutte le password contenute all’interno saranno note ai criminali. Dovresti cambiarle ora e utilizzare password univoche che non hai mai usato prima e che non sono in nessuno degli elenchi di password comunemente usati.

Per quanto riguarda gli altri criminali di dati ottenuti da LastPass, dovresti congelare il tuo credito e attivare un servizio di monitoraggio del credito per monitorare qualsiasi nuova carta o richiesta di prestito a tuo nome. Se sei in grado di cambiare il tuo numero di telefono senza troppi inconvenienti, dovresti farlo anche tu.

Assumiti la responsabilità della tua sicurezza

È facile incolpare LastPass per le violazioni dei dati che hanno visto i tuoi depositi di password e i tuoi dati personali cadere nelle mani di criminali, ma i servizi di gestione delle password che proteggono la tua vita e ti aiutano a generare combo uniche sono ancora il modo migliore per proteggere la tua vita online.

Un modo per rendere più difficile agli aspiranti ladri entrare in possesso dei tuoi dati vitali è ospitare un gestore di password sul tuo hardware. È economico, facile da fare e alcune soluzioni, come VaultWarden, possono persino essere implementate su un Raspberry Pi Zero.