Notizia @andrew_andrew__
6 marzo 2023, 15:31 EST | 2 minuti di lettura
Maor_Winetrob / Shutterstock.com LastPass ha ancora a che fare con violazione dei dati dell’anno scorso, che esponeva le informazioni personali e le password di alcuni clienti. Ma nuove informazioni su questa storia ci ricordano perché ogni utente di computer e azienda deve prendere sul serio la sicurezza.
Il 28 febbraio, LastPass finalmente spiegato come si è verificata la sua violazione dei dati. Un hacker inizialmente ha preso di mira “software multimediale di terze parti vulnerabile” sul personal computer di casa di un ingegnere DevOps, installando un keylogger per raccogliere la password principale del dipendente. Questo DevOp sembra essere uno dei quattro dipendenti LastPass che possono accedere al caveau aziendale, quindi è lecito ritenere che si tratti di un hack mirato.
Sì, il dipendente preso di mira da questo hack possedeva un laptop aziendale (che da allora è stato sostituito). Alcuni rapporti affermano che il dipendente ha utilizzato il proprio personal computer per accedere alle risorse di lavoro, sebbene ciò non sia stato confermato da LastPass.
Ecco la cosa interessante; il “software multimediale di terze parti vulnerabile” sfruttato in questo hack era Plex. Le prime notizie sul coinvolgimento di Plex sono arrivate per gentile concessione di leaker (via Ars Tecnica), ma è stato successivamente confermato da Plex il 1° marzo.
Quando il Ars Tecnica rapporto è uscito, Plex ha detto di non essere stato contattato da LastPass. Ma le cose sono cambiate: LastPass dice a Plex che la vulnerabilità sfruttata lo era CVE-2020-5741. Plex racconta Recensione Geek che questo exploit è stato divulgato e corretto nel maggio del 2020, almeno 2,5 anni prima della violazione di LastPass.
Chiaramente, il dipendente LastPass preso di mira ha trascurato di aggiornare il proprio server Plex per almeno due anni. Ci sono stati quasi 75 aggiornamenti Plex da quando l’exploit CVE-2020-5741 è stato corretto. Questo è un grave fallimento della sicurezza sia personale che aziendale; come osserva Plex, le notifiche di aggiornamento vengono fornite “tramite l’interfaccia utente dell’amministratore” e gli aggiornamenti automatici sono abbastanza comuni.
Ma in un certo senso, questo fallimento è comprensibile. Alcuni aggiornamenti di Plex devono essere eseguiti manualmente e, come sa qualsiasi utente di Plex, questi aggiornamenti potrebbero introdurre problemi o costringerti a ripetere alcuni dei metadati della tua libreria multimediale. Il dipendente di LastPass preso di mira da questo hack potrebbe non essersi reso conto che un aggiornamento doveva essere installato manualmente (anche se c’è la possibilità che abbia intenzionalmente evitato l’aggiornamento).
Prendi questo come una lezione; qualsiasi parte di una rete può compromettere la tua sicurezza o anche quella degli altri. Devi mantenere i prodotti aggiornati e se un dispositivo in casa soffre di un exploit senza patch, dovresti portarlo offline. (Inoltre, Plex deve migliorare il suo processo di aggiornamento. Lo so per esperienza.)
Sfortunatamente, le aziende tecnologiche non sanno come dare l’esempio. LastPass ha la responsabilità qui, e l’ha fatto il track record per dimostrare che non può prendere sul serio la sicurezza. Abbiamo contattato LastPass per un commento e stiamo aspettando una risposta.
I 5 migliori gestori di password del 2023
Miglior gestore di password in assoluto
1Password
Miglior gestore di password premium
Dashlan
Miglior gestore di password gratuito
Bitwarden
Miglior gestore di password di bilancio
Custode
Miglior gestore di password di archiviazione locale
Enpass Fonte: LastPassPlesso
