La devastadora violación de LastPass del año pasado se remonta a una pieza de malware de registro de teclas que se instaló en secreto en la computadora de la casa de un empleado.
El lunes, LastPass proporcionó(Se abre en una nueva ventana) más detalles sobre la brecha, que ha hecho añicos la confianza en uno de los administradores de contraseñas más populares del mercado. La empresa perdió los datos cifrados de la bóveda de contraseñas de todos los clientes debido a un pirata informático que estuvo hurgando en secreto en los sistemas de LastPass durante semanas.
Una pregunta persistente había sido cómo el culpable irrumpió en LastPass, a pesar de sus diversas medidas de seguridad. La empresa mantuvo sus datos cifrados de la bóveda de contraseñas en un sistema de copia de seguridad basado en la nube, que requería tanto las claves de acceso de Amazon AWS como las claves de descifrado generadas por LastPass para ingresar.
En la actualización del lunes(Se abre en una nueva ventana)LastPass agregó que solo cuatro ingenieros de DevOps en la compañía poseían las claves de descifrado necesarias a través de un «conjunto altamente restringido de carpetas compartidas». Sin embargo, el pirata informático eludió las medidas de seguridad de la empresa al enviar malware a uno de los ingenieros de DevOps en su casa.
“Esto se logró apuntando a la computadora de la casa del ingeniero de DevOps y explotando un paquete de software de medios de terceros vulnerable, que habilitaba la capacidad de ejecución remota de código y permitía que el actor de amenazas implantara malware keylogger”, dijo LastPass.
Luego, el malware registró las pulsaciones de teclas en la computadora del ingeniero, lo que permitió al pirata informático capturar la contraseña maestra para la bóveda de contraseñas del empleado en LastPass. El mismo malware parece haber ayudado al pirata informático a eludir la autenticación multifactor en la cuenta, que contenía las claves de descifrado necesarias para acceder al sistema de copia de seguridad en la nube de LastPass.
LastPass no nombró el «paquete de software de medios de terceros vulnerable». pero de acuerdo(Se abre en una nueva ventana) para Ars Technica, el software vulnerable era Plex, que puede ayudar a los consumidores a construir un servidor de medios para transmitir videos en casa. (En agosto, Plex sufrió su propia violación, que involucró una base de datos que contenía información de contraseñas de usuarios).
El pirata informático también pudo apuntar al ingeniero DevOps en LastPass después de realizar una violación anterior en la empresa en agosto que involucró sus repositorios de código fuente. Durante la violación inicial, el pirata informático secuestró la computadora portátil de un ingeniero de software de LastPass, aunque no está claro cómo lo hizo. Aún así, la evidencia forense muestra que el culpable cerró el antivirus en la computadora del ingeniero de software para permanecer oculto, dijo LastPass en la actualización del lunes.
El nuevo informe de LastPass indica que el pirata informático poseía algunas habilidades serias de infiltración de computadoras. Además, el informe muestra cómo se puede explotar la computadora de la casa de un empleado para entrar en una empresa importante.
Recomendado por Nuestros Editores
El CEO de LastPass, Karim Toubba, también señala que muchos clientes se han sentido frustrados con la «incapacidad de la compañía para comunicarse de manera más inmediata, más clara y más completa durante este evento». La empresa anunció inicialmente la infracción el 22 de diciembre, casi dos meses después de que el hacker abandonara los sistemas internos de LastPass.
“Acepto las críticas y asumo toda la responsabilidad. Hemos aprendido mucho y estamos comprometidos a comunicarnos de manera más efectiva en el futuro. La actualización de hoy es una demostración de ese compromiso”, escribió en una publicación.(Se abre en una nueva ventana) A los consumidores. La compañía también ha realizado numerosos cambios, incluida la instalación de nuevas tecnologías de seguridad, luego de las infracciones. A pesar de la promesa, muchos usuarios en las redes sociales informaron que cambiaron a otros administradores de contraseñas.
Para obtener más información, consulte Qué sucede realmente en una violación de datos (y qué puede hacer al respecto) y Cómo cambiar a un nuevo administrador de contraseñas.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.