el administrador de contraseñas sufre otra filtración y expone datos de sus usuarios


En agosto, el gestor de claves fue atacado por ciberdelincuentes. Esta vez, el caso es más grave.

LastPass reveló otra filtración de datos en la que cibercriminales obtuvo acceso a los datos del cliente almacenados en un servicio en la nube de un tercero.

Según el CEO de la empresa, Karim Toubba, los atacantes usaron información robada de la brecha de seguridad que ocurrió en agosto de este año con la empresa para obtener acceso al espacio en la nube que la empresa compartió con su afiliado GoTo.

Los gestores de claves, o “password managers”, son programas que gestionan todas nuestras claves en un solo lugar, las recuerdan por nosotros y hasta nos sugieren combinaciones muy complejas de caracteres que no tenemos que recordar.

En agosto de 2022, LastPass confirmó que un actor de amenazas había comprometido el entorno de desarrollo de la empresa durante cuatro días utilizando una cuenta de desarrollador. Además, obtuvieron acceso al código fuente y cierta información técnica patentada, pero no accedieron a los datos de los clientes ni a las bóvedas de contraseñas cifradas.

Esta vez, sin embargo, la filtración tiene consecuencias para sus usuarios. LastPass ahora dice que el atacante usó la información obtenida en el incidente anterior para facilitar la violación de datos de noviembre de 2022 y acceder a elementos no revelados de la información de los clientes de LastPass.

Datos comprometidos

Datos personales de usuarios, filtrados. Foto Pexels


Datos personales de usuarios, filtrados. Foto Pexels

El 30 de noviembre de 2022, LastPass informó a los clientes que detectó actividad inusual dentro de un servicio de almacenamiento en la nube de terceros compartido con su afiliado, GoTo, anteriormente llamado LogMeIn.

La empresa administradora de contraseñas contrató a la firma de seguridad cibernética Mandiant en una investigación que confirmó el acceso no autorizado a los datos de los clientes en la nube compartida de terceros.

“Hemos determinado que una parte no autorizada, utilizando información obtenida en el incidente de agosto de 2022, pudo acceder a ciertos elementos de la información de nuestros clientes”, dijo LastPass en una publicación de su blog.

Sin embargo, LastPass dijo que los datos expuestos no son contraseñas, que sería lo más grave, sino información como correos electrónicos.

La empresa también notificó a las fuerzas del orden público y comenzó a trabajar para determinar la naturaleza de los datos de los clientes robados.

«Las contraseñas de nuestros clientes permanecen cifradas de forma segura gracias a la arquitectura Zero Knowledge de LastPass», explicaron.

Por lo tanto, descifrar hashes de contraseñas no sería una tarea trivial, dado que LastPass permite a los usuarios generar contraseñas seguras. Además, la empresa aseguró a sus clientes que continuaría mejorando sus defensas para evitar más actividades de amenazas en su infraestructura.

“Como parte de nuestros esfuerzos, continuamos implementando medidas de seguridad mejoradas y capacidades de monitoreo en nuestra infraestructura para ayudar a detectar y prevenir una mayor actividad de los actores de amenazas”.

LastPass había notificado a sus clientes que los ciberdelincuentes no inyectaron código malicioso durante la brecha de seguridad de agosto de 2022, ya que los desarrolladores no pudieron insertar directamente el código en producción. Además, la empresa explicó que su entorno de desarrollo estaba físicamente separado del entorno de producción.

“Los desarrolladores no tienen la capacidad de pasar el código fuente del entorno de desarrollo a la producción. Esta capacidad está limitada a un equipo de Build Release separado y solo puede ocurrir después de completar los rigurosos procesos de revisión, prueba y validación del código”.

Aparentemente, los ciberdelincuentes lograron crear una puerta trasera que luego explotaron para acceder a los datos de los clientes.

Por esta razón, se recomienda de todos modos cambiar la clave maestra para todos los usuarios de LastPass.

Mirá también