Servicio de gestión de contraseñas Ultimo pase el jueves reveló más detalles sobre incumplimiento de noviembreconfirmando que se expuso la información básica del cliente, pero no datos críticos como contraseñas o detalles de la tarjeta de crédito.
La brecha a fines de noviembre fue el resultado de una anterior en agosto, cuando los malos actores irrumpieron en una de las bases de código de back-end de LastPass. Robaron datos de la empresa que luego se usaron recientemente para ingresar a otra base de datos de LastPass para capturar datos de clientes sin cifrar, como nombres, direcciones de correo electrónico y de facturación, números de teléfono y direcciones IP. No se expusieron datos de tarjetas de crédito sin cifrar.
También se robaron datos más confidenciales, incluidos nombres de usuario y contraseñas, pero dado que están cifrados de forma predeterminada detrás de una contraseña maestra que no está almacenada en los servidores de LastPass, es muy poco probable que queden expuestos.
Otros malhechores aún podrían obtener acceso a esos datos confidenciales si los usuarios hacen que sus contraseñas maestras sean más fáciles de adivinar, como si se usaran para iniciar sesión en otros sitios, o si son víctimas de esquemas de phishing o ingeniería social. Si configuraron su contraseña maestra de acuerdo con las mejores prácticas de LastPass, que reiteraron en una publicación de blog que revela la violación, tomaría «millones de años» adivinar.
Si bien los hackeos son cada vez más comunes, este evento mostró dos puntos importantes sobre el ciberdelito moderno. En primer lugar, una infracción inicial que no afecta a los usuarios típicos podría dar lugar a otra que sí lo haga y, en segundo lugar, la decisión de LastPass de no almacenar nunca las contraseñas maestras de los usuarios significa que la información robada de la empresa no puede acceder a los datos cifrados de los usuarios, al menos hasta ahora. tal como lo conocemos.