LastPass ha ricevuto una multa di 1,2 milioni di sterline dall’autorità britannica ICO per una violazione dati del 2022 che ha colpito 1,6 milioni di utenti nel Regno Unito. Le password crittografate sono rimaste sicure grazie alla crittografia zero-knowledge, ma nomi, email, numeri di telefono e URL dei siti sono stati compromessi. Azione immediata: cambia la password master del tuo account LastPass e abilita l’autenticazione a due fattori ovunque.
Questa sanzione sottolinea l’importanza di misure di sicurezza robuste nei gestori di password. L’incidente ha rivelato debolezze organizzative che hanno permesso a un hacker di accedere a un database di backup, esponendo informazioni personali sensibili. Sebbene non ci siano prove di decrittazione delle password, il danno reale include furti di criptovalute per centinaia di milioni di dollari attribuiti al breach.
Come si è svolto l’incidente
L’attacco si è sviluppato in due fasi distinte nell’agosto 2022. Nel primo episodio, un hacker ha compromesso il laptop aziendale di un dipendente europeo, rubando credenziali crittografate e ottenendo accesso all’ambiente di sviluppo di LastPass. Nel secondo, l’attaccante ha mirato al laptop personale di un dipendente senior statunitense: ha sfruttato una vulnerabilità in un servizio di streaming di terze parti per installare un keylogger, catturando la password master e un cookie di autenticazione da dispositivo trusted, bypassando così la multi-factor authentication.
Combinando questi accessi, il malvivente ha raggiunto il database di backup, estraendo dati personali di milioni di utenti. L’ICO ha rilevato che LastPass non aveva implementato protezioni adeguate, come la separazione tra account personali e aziendali, e ha ritardato la risposta all’incidente.
Le carenze emerse dall’indagine
L’autorità ha identificato violazioni chiare delle norme sulla protezione dati:
– Credenziali ad alto privilegio accessibili da dispositivi personali non gestiti.
– Uso della stessa password master per account personali e aziendali.
– Mancato rispetto degli standard ISO 27001 interni.
– Risposta agli incidenti lenta e insufficiente.
Nonostante ciò, la crittografia zero-knowledge ha protetto le password, memorizzate localmente sui dispositivi utenti e non accessibili all’azienda.
Conseguenze finanziarie reali
La multa è solo la punta dell’iceberg. Dal breach, si registrano furti di criptovalute per oltre 438 milioni di dollari da utenti LastPass fino a metà 2025:
– Giugno 2023: 150 milioni di dollari dal co-fondatore di Ripple.
– Febbraio 2024: 6,2 milioni di dollari.
– Maggio 2024: perdite totali oltre 250 milioni.
– Dicembre 2024: 12,38 milioni in poche ore.
– Aprile 2025: oltre 50 milioni da 95 vittime.
Questi episodi dimostrano come i dati esposti facilitino attacchi mirati, specialmente su asset digitali.
Misure di protezione immediate
Per minimizzare i rischi:
– Cambia subito la password master se usi LastPass.
– Attiva 2FA su tutti i servizi critici.
– Monitora wallet di criptovalute per transazioni sospette.
– Valuta la migrazione a un altro gestore di password.
– Controlla report di credito per frodi.
Adottare queste abitudini rafforza la sicurezza complessiva, indipendentemente dal provider.
Lezioni per utenti e aziende
Questo caso evidenzia la necessità di politiche rigorose: separare ambienti personali e aziendali, gestire chiavi di decrittazione con cura, imporre controlli BYOD e accelerare le response agli incidenti. Per gli utenti, diversificare i gestori e usare password uniche rimane essenziale.
Technical Deep Dive
Vettore di attacco dettagliato
Fase 1 – Accesso iniziale: Compromissione del laptop aziendale via phishing o exploit non patchato, con furto di credenziali crittografate per l’ambiente dev.
Fase 2 – Escalation: Attacco al dispositivo personale di un senior dev tramite vulnerabilità nota in un servizio streaming third-party. Installazione di keylogger per catturare password master.
Fase 3 – Bypass MFA: Furto di cookie trusted device, consentendo login senza verifica aggiuntiva.
Fase 4 – Esfiltrazione: Accesso a vault contenenti chiavi AWS e decrittazione, per estrarre dal backup nomi, email, telefoni, URL e note non crittografate di 1,6 milioni utenti.
Limiti della zero-knowledge encryption
Questa architettura impedisce all’azienda di accedere a password decifrate, ma non protegge metadati esposti: nomi utente, email, numeri, URL. Sufficienti per phishing avanzato, spear-phishing e targeting di servizi specifici.
Best practice organizzative violate
– No mixing account: Privilegi elevati solo su device aziendali gestiti.
– Key management: Chiavi decrittazione in sistemi sicuri, non vault personali.
– BYOD policies: Monitoraggio continuo e restrizioni.
– Incident response: Automazione per detection rapida e contenimento.
L’ICO stabilisce un benchmark per l’industria: multe proporzionate riflettono rischi persistenti, anche anni dopo. Aziende devono adottare zero-trust, least-privilege e audit continui per mitigare tali minacce. Ricercatori notano che furti crypto ongoing indicano vault compromessi indirettamente, spingendo a review proattive.
