Se siete tra quanti utilizzando LastPass, la popolare piattaforma di raccolta e gestione di credenziali, per la prima volta si sono chiesti “Ok, ma cosa succede se ad essere bucata è la piattaforma stessa?” vi farà “piacere” sapere che ora c’è una risposta. E non riguarda solamente LastPass, ma anche tante altre popolari piattaforme che gestiscono credenziali, token e secret.
Lo scorso 22 dicembre, ArsTechnica ha pubblicato la notizia di un data breach avvenuto nei sistemi LastPass. Il furto ha riguardato il backup degli hash a 256 bit memorizzati dal sistema, che erano stati memorizzati “da qualche parte sul cloud“, come cita il blog post di spiegazione pubblicato da LastPass stessa.
La nota che viene aggiunta è che questi hash possono essere decriptati unicamente dalla chiave in possesso dell’utente (dipendente dalla password), e che, come specifica il CEO dell’azienda:
As a reminder, the master password is never known to LastPass and is not stored or maintained by LastPass. The encryption and decryption of data is performed only on the local LastPass client.
Ricordiamo che la password master [ossia quella utilizzata in fase di decrittazione] non è conosciuta da LastPass né da esso memorizzata o gestita. La fase di crittazione e decrittazione dei dati è gestita solo dal client LastPass.Quindi se vengono rispettati i requisiti minimi di sicurezza che l’azienda suggerisce non ci dovrebbero essere problemi.
Tutti sereni quindi? Altroché.
In questi giorni i feed degli addetti ai lavori sono stati letteralmente invasi da notizie simili a quella appena raccontata che stavolta riguardano Slack e CircleCI. La questione più grave pare riguardare proprio quest’ultima, e l’eco della notizia ha toccato tutti i blog specializzati oltre ad ArsTechnica, vedi ad esempio DevClass e TheNewStack.
L’azienda ha caldamente consigliato agli utenti di “ruotare” i propri secret, che un altro modo per dire: ci hanno bucato, cambiate le vostre password ed i vostri token.
Entrambi questi leak, quello di Slack e CircleCI hanno in comune una cosa: sono conditi da un fumoso resoconto che non spiega l’ampiezza di quanto avvenuto e rende abbastanza difficile capire quando il furto sia avvenuto.
Ciliegina sulla torta, ArsTechnica presuppone un potenziale collegamento tra i vari breach, e, dulcis in fundo, prevede che le cose peggioreranno.
Insomma, c’è poco da stare allegri: se non avevate previsto una rotazione di tutte le vostre credenziali su questi sistemi, è il momento di farlo.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
English (US)