LastPass ha publicado una actualización de su investigación sobre un par de incidentes de seguridad que tuvieron lugar el año pasado, y suenan más graves de lo que se pensaba. Aparentemente, los malos actores involucrados en esos incidentes también se infiltraron en la computadora de la casa de un ingeniero de DevOps de la compañía al explotar un paquete de software de medios de terceros. Implantaron un keylogger en el software, que luego usaron para capturar la contraseña maestra del ingeniero para una cuenta con acceso a la bóveda corporativa de LastPass. Después de ingresar, exportaron las entradas de la bóveda y las carpetas compartidas que contenían las claves de descifrado necesarias para desbloquear depósitos de Amazon S3 basados en la nube con copias de seguridad de la bóveda del cliente.
Esta última actualización en la investigación de LastPass nos brinda una imagen más clara de cómo se conectaron los dos incidentes de violación de seguridad por los que pasó el año pasado. Si recuerda, LastPass reveló en agosto de 2022 que una «parte no autorizada» ingresó a su sistema. Si bien el primer incidente terminó el 12 de agosto, la compañía dijo en su nuevo anuncio que los actores de amenazas estaban «participando activamente en una nueva serie de actividades de reconocimiento, enumeración y exfiltración alineadas con el entorno de almacenamiento en la nube que se extiende desde el 12 de agosto de 2022 hasta octubre. 26, 2022».
Cuando la empresa anunció la segunda brecha de seguridad en diciembre, dijo que los delincuentes utilizaron la información obtenida del primer incidente para acceder a su servicio en la nube. También admitió que los piratas informáticos se llevaron un montón de información confidencial, incluidos sus cubos de Amazon S3. Para poder acceder a los datos guardados en esos cubos, los piratas informáticos necesitaban claves de descifrado guardadas en un «conjunto altamente restringido de carpetas compartidas en una bóveda del administrador de contraseñas de LastPass». Es por eso que los malhechores se dirigieron a uno de los cuatro ingenieros de DevOps que tenían acceso a las claves necesarias para desbloquear el almacenamiento en la nube de la empresa.
En un documento de soporte (PDF) la empresa dio a conocer (a través de BleepingEquipo), detalló los datos a los que accedieron los actores de amenazas durante los dos incidentes. Aparentemente, las copias de seguridad basadas en la nube a las que se accedió durante la segunda violación incluían «secretos de API, secretos de integración de terceros, metadatos del cliente y copias de seguridad de todos los datos de la bóveda del cliente». La compañía insistió en que todos los datos confidenciales de la bóveda del cliente, salvo algunas excepciones, «solo pueden descifrarse con una clave de cifrado única derivada de la contraseña maestra de cada usuario». La compañía agregó que no almacena las contraseñas maestras de los usuarios. LastPass también detalló los pasos que ha tomado para fortalecer sus defensas en el futuro, incluida la revisión de su detección de amenazas y hacer «una asignación multimillonaria para mejorar [its] inversión en seguridad entre personas, procesos y tecnología».
Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a través de uno de estos enlaces, podemos ganar una comisión de afiliado. Todos los precios son correctos en el momento de la publicación.