El año pasado fue particularmente malo para el administrador de contraseñas LastPass, ya que una serie de incidentes de piratería revelaron algunas debilidades graves en su seguridad supuestamente sólida. Ahora, sabemos exactamente cómo ocurrieron esos ataques, y los hechos son bastante impresionantes.
Todo comenzó en agosto de 2022, cuando LastPass reveló que un actor de amenazas había robó el código fuente de la aplicación. En un segundo ataque posterior, el pirata informático combinó estos datos con información encontrada en una violación de datos separada y luego explotó una debilidad en una aplicación de acceso remoto utilizada por los empleados de LastPass. Eso les permitió instalar un registrador de teclas en la computadora de un ingeniero senior de la empresa.
Una vez que el registrador de teclas estaba en su lugar, los piratas informáticos podían obtener la contraseña maestra de LastPass del ingeniero. tal como se ingresó, otorgándoles acceso a la bóveda del empleado, y todos los secretos contenidos dentro de.
Relacionado
- Los piratas informáticos pueden haber robado la clave maestra de otro administrador de contraseñas
- NordPass agrega soporte de clave de acceso para desterrar sus contraseñas débiles
- Los piratas informáticos profundizaron en la brecha de seguridad masiva de LastPass
Usaron ese acceso para exportar el contenido de la bóveda. Entre los datos se encontraban las claves de descifrado necesarias para descifrar las copias de seguridad de los clientes almacenadas en el sistema de almacenamiento en la nube de LastPass.
Vídeos recomendados
Eso es importante porque LastPass mantuvo copias de seguridad de producción y copias de seguridad de bases de datos críticas en la nube. También se robó una gran cantidad de datos confidenciales de clientes, aunque parece que los piratas informáticos no pudieron descifrarlos. Detalles de una página de soporte de LastPass exactamente lo que fue robado.
Transparencia cuestionable
Afortunadamente para los usuarios de LastPass, parece que los datos más confidenciales de los clientes, como (la mayoría de) las direcciones de correo electrónico y las contraseñas, se cifraron con un método de conocimiento cero. Eso significa que fueron encriptados con una clave derivada de la contraseña maestra de cada usuario y desconocida para LastPass. Cuando los piratas informáticos robaron datos de LastPass, no pudieron obtener estas claves de descifrado porque LastPass no las almacenó en ningún lugar.
Dicho esto, los actores de amenazas tomaron muchos datos importantes. Eso incluyó copias de seguridad de la base de datos de autenticación multifactor de LastPass, secretos de API, metadatos de clientes, datos de configuración y más. Además de eso, parece que hay numerosos productos además de LastPass también fueron incumplidos.
En un Pagina de soporte, LastPass dijo que la forma en que se llevó a cabo el segundo ataque, mediante el uso de detalles de inicio de sesión de empleados genuinos, dificultó su detección. Al final, la empresa se dio cuenta de que algo andaba mal cuando su sistema de alertas de AWS GuardDuty le advirtió que alguien estaba tratando de usar sus funciones de Cloud Identity and Access Management para realizar acciones no autorizadas actividad.
LastPass ha recibido muchas críticas por su manejo de los ataques en los últimos meses, y es poco probable que esa desaprobación desaparezca a la luz de las últimas revelaciones. De hecho, una empresa de seguridad llegó a decir que LastPass no era una aplicación confiable y que los usuarios cambiar a diferentes administradores de contraseñas.
En este momento, LastPass aparentemente está tratando de ocultar sus páginas de soporte de ataques de los motores de búsqueda agregando "” código a las páginas. Eso solo hará que sea más difícil para los usuarios (y el mundo en general) descubrir qué sucedió y difícilmente parece hacerse con un espíritu de transparencia y responsabilidad. Tampoco se ha publicado nada en el blog de la empresa.
Si es cliente de LastPass, podría ser mejor buscar una aplicación alternativa. Afortunadamente, hay muchos otros excelentes administradores de contraseñas por ahí que puede proteger de manera confiable su información importante.
Recomendaciones de los editores
- Estas vergonzosas contraseñas hicieron que las celebridades fueran pirateadas
- No, 1Password no fue pirateado: esto es lo que realmente sucedió
- Es posible que esta gran vulnerabilidad del administrador de contraseñas nunca se solucione
- Los mejores administradores de contraseñas para 2023
- ¿Utiliza LastPass? Necesitas cambiarte urgentemente, dice empresa de seguridad
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales perspicaces y adelantos únicos.
