Ottieni Ottieni LastPass Free
Sicurezza

Report sulla sicurezza di LastPass

Impegno per la sicurezza

La sicurezza è la massima priorità per noi di LastPass, il che include risposte e risoluzioni rapide alle segnalazioni di bug o vulnerabilità. LastPass è capace di ottenere un elevato di sicurezza per i suoi utenti anche grazie alla nostra community, che mette alla prova la nostra tecnologia. Apprezziamo l’importante lavoro della community dei ricercatori di sicurezza nonché le segnalazioni responsabili dei problemi. Crediamo inoltre che quando il processo di sicurezza funziona come previsto, tutti ne traiamo vantaggio.

Nota: Se sei un utente LastPass e temi che il tuo account possa essere stato violato, compromesso o sia a rischio in altro modo, contatta il team del supporto di LastPass. Esamineremo il tuo problema e ce ne occuperemo nella maniera più adatta.

Invio di un report sulla sicurezza

Se sei un ricercatore ed esperto di sicurezza e ritieni di aver individuato un bug di sicurezza o una vulnerabilità in LastPass, ti preghiamo di seguire questi passaggi:

  1. Leggi le FAQ sulla sicurezza di LastPass per accertare che il problema che hai individuato non sia già stato affrontato.
  2. Invia il tuo report tramite BugCrowd, il nostro programma di bug bounty per segnalare problemi.
  3. Includi un esempio di codice e uno screencast che dimostri chiaramente la falla, laddove possibile.
  4. Illustra chiaramente in che modo il bug o la vulnerabilità influisca sui dati degli utenti o sui sistemi di LastPass.
  5. Prima di postare pubblicamente quanto hai scoperto, concedici il tempo di esaminare il tuo report e risponderti, e di coordinarci ai fini della revisione e approvazione della segnalazione.
  6. Evita di accedere ai dati degli utenti, di modificarli o di sottrarli illecitamente, ed evita altresì di perturbare la disponibilità di LastPass (inclusi gli attacchi DdoS).

Nel segnalare potenziali problemi, ti preghiamo di fornirci informazioni sufficienti a ricreare quanto hai individuato. Queste informazioni possono includere i passaggi esatti per riprodurre il bug, qualsiasi collegamento su cui hai fatto clic, le pagine che hai visitato, gli URL e qualsiasi indirizzo e-mail dell’account coinvolto. Includi anche un esempio di codice e delle immagini o una registrazione video che dimostrino chiaramente la falla da te scoperta.

Per crittografare le informazioni sensibili, puoi usare questa chiave pubblica:

visualizza la chiave pubblica

 

Nota: Se per individuare le vulnerabilità hai impiegato strumenti automatici, tieni in considerazione che tali strumenti segnalano spesso falsi positivi.

Risposta ai report

In seguito alla ricezione di un report, intraprendiamo subito le azioni necessarie ad analizzarlo e determinarne la gravità. Nel tentare di risolvere il problema identificato, in base alla sua gravità, potremmo contattarti per richiederti informazioni aggiuntive. Distribuiremo le correzioni necessarie agli utenti interessati in base alla gravità del problema e al suo potenziale impatto. Chiuderemo quindi il report una volta risolto il problema o stabilito altrimenti che è chiuso.

FAQ sulla sicurezza di LastPass

Ho l’opzione di autenticazione a più fattori abilitata, ma LastPass ha inserito le mie credenziali in un sito prima che io immettessi il mio token di autenticazione multifattoriale. È un problema di sicurezza?

Perché l’autenticazione a più fattori possa convalidare il tuo token di autenticazione multifattoriale, è necessario disporre di una connessione Internet: se non fornisci un token di autenticazione multifattoriale valido, LastPass non ti consentirà di accedere ai dati decrittografati. A ogni modo, LastPass opera anche in modalità offline: archivia nella cache locale del tuo dispositivo una copia crittografata dei tuoi dati in modo che possa accedervi anche quando non disponi dell’accesso a Internet. Quando effettui l’accesso a LastPass, il software ti connette prima in modalità offline alla copia dei tuoi dati archiviata nella cache locale e poi tenta di connetterti in modalità online. Di conseguenza, possono verificarsi casi in cui LastPass inserisce le tue credenziali prima che tu immetta il tuo token di autenticazione multifattoriale. Se desideri che ciò non si verifichi, puoi eseguire la seguente procedura:

  1. Accedi a LastPass.
  2. Nel browser, seleziona l’icona di LastPass e poi Altre opzioni > Avanzato > Svuota cache locale.
  3. Disconnettiti da LastPass.
Clicca qui per saperne di più.

Il mio programma antivirus mi ha avvertito che LastPass è un virus, un trojan o un file sospetto. Dovrei preoccuparmi?

Gran parte dei moderni programmi antivirus si affida a una rete fiduciaria per stabilire se un file rappresenti una minaccia. Sebbene tutti gli eseguibili da noi distribuiti siano firmati con un certificato digitale, dunque, ogni volta che rilasciamo una nuova versione del nostro software, i programmi antivirus solitamente la contrassegnano come sospetta fino a quando non viene distribuita a migliaia di utenti e/o gli utenti finali non aggiornano le definizioni dei virus. Se riscontri questo problema, ti preghiamo di eseguire la seguente procedura:

  1. Scarica nuovamente i file in questione dalla pagina dedicata di LastPass.
  2. Carica i file sospetti su Virus Total, un servizio che ricorre a decine di motori antivirus di prim’ordine per analizzare i file. A meno che i risultati indichino che molti di questi motori antivirus li considerano infetti, è probabile che i file siano sicuri.
  3. Clicca con il tasto destro sui file e seleziona “Proprietà” dal menu contestuale, quindi scegli la scheda “Firme digitali”. Assicurati che i file dispongano di una firma digitale valida appartenente a “LastPass” e, se necessario, visualizzane il certificato. Ciò accerta che i file sono stati creati da LastPass e non sono stati modificati da terzi non autorizzati.
  4. Se dopo questa procedura ritieni ancora che i file siano infetti o che non siano stati creati da LastPass, contattaci all’indirizzo security@lastpass.com.

Un utente ha condiviso un sito con me senza selezionare l’opzione “Permetti ai destinatari di vedere la password”, ma sono riuscito a visualizzarla ugualmente.

Quando le password memorizzate su LastPass vengono inserite in un browser come credenziali, il software non è più in grado di proteggerle. Di conseguenza, se un utente ricorre a LastPass per immettere una password condivisa su Chrome, ad esempio, il software non è più in grado di garantirne la sicurezza, che potrebbe venire compromessa dal browser, da un virus o dalla rete, oppure perfino dal sito Web finale cui viene inviata, come indicato anche nella nostra documentazione.
Il concetto dietro la protezione delle credenziali condivise attraverso LastPass ha una natura ben più ampia: se utilizzi LastPass per condividere password con i dipendenti o gli amici, ma in seguito ne revochi l’accesso, LastPass ti offre la possibilità di aggiornarle successivamente in modo facile e veloce. Dunque, anche se LastPass non può garantire una completa protezione delle password condivise al di fuori della sua sfera di azione (perché la sua portata si limita al browser), è tuttavia in grado di aiutarti a proteggerle consentendoti di modificarle rapidamente e distribuendo automaticamente tali modifiche a tutti gli utenti coinvolti nella condivisione.