LastPass solía ser uno de los mejores administradores de contraseñas, pero más recientemente, su reputación se ha visto afectada por múltiples violaciones de seguridad. Ahora la compañía ha confirmado que el último fue De Verdad malo.
LastPass sufrió una brecha de seguridad en agosto, cuando un pirata informático obtuvo acceso a los entornos de desarrollo y pudo robar el código fuente y otra información patentada. Más tarde en diciembre, LastPass confirmó que un pirata informático pudo usar esos datos para «obtener acceso a ciertos elementos de la información de nuestros clientes». La compañía no aclaró qué significaba «ciertos elementos», hasta ahora.
LastPass acaba de revelar el alcance completo del ataque, luego de una «investigación en curso». El pirata informático pudo acceder a un entorno de almacenamiento en la nube utilizando datos de la brecha de seguridad de agosto, que incluían «información básica de la cuenta del cliente y metadatos relacionados, incluidos nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP». desde donde los clientes accedían al servicio de LastPass”. Aparentemente, no se accedió a la información de la tarjeta de crédito.
La peor parte es que el pirata informático copió con éxito los datos de la bóveda de LastPass, aunque la empresa lo llamó «una copia de seguridad», por lo que no está claro la antigüedad de los datos. La compañía afirma que las contraseñas reales siguen siendo seguras, porque utilizan un cifrado AES de 256 bits basado en la contraseña maestra de una persona. Sin embargo, si se puede obtener la contraseña maestra de alguien (por ejemplo, con un correo electrónico de phishing que imita una página de inicio de sesión de LastPass), podría desbloquear los datos cifrados y ver todas las contraseñas de alguien.
Incluso sin la contraseña maestra, los datos filtrados podrían ser dañinos para algunos usuarios de LastPass. Los nombres y las direcciones de facturación se pueden usar en más ataques, y las direcciones de los sitios web para las contraseñas almacenadas no se cifraron. Alguien con los datos filtrados podría ver todos los sitios web asociados con contraseñas y luego usarlos para un phishing más específico. Por ejemplo, si alguien tiene una contraseña para el sitio web de Bank of America, es posible que tenga una cuenta allí y sería un objetivo excelente para correos electrónicos de phishing que parecen alertas de cuenta del banco.
Este es casi el peor incidente de seguridad imaginable para un administrador de contraseñas como LastPass: casi todos los datos en posesión de la empresa han sido copiados. El cifrado del lado del cliente evitó que se robaran todas las contraseñas, pero como se mencionó anteriormente, todo lo que se necesita es una contraseña maestra débil o un ataque de phishing para desbloquear esos datos para una cuenta. Eso, junto con un historial deficiente de respuesta a problemas de seguridad y muchas otras infracciones recientes, es una buena justificación para dejar de usar LastPass.
Si usa LastPass, debe cambiar su contraseña maestra lo antes posible y estar atento a los correos electrónicos de aspecto incompleto para las próximas semanas y meses. También puede considerar cambiar todas las contraseñas almacenadas en LastPass: los piratas informáticos ahora (probablemente) también tienen esos datos, simplemente no pueden desbloquearlos en este momento.
Fuente: LastPass