En agosto, LastPass admitió que una «parte no autorizada» ingresó a su sistema. Cualquier noticia sobre la piratería de un administrador de contraseñas puede ser alarmante, pero la compañía ahora asegura a sus usuarios que sus inicios de sesión y otra información no se vieron comprometidas en el evento.
En su última actualización sobre el incidente, el CEO de LastPass, Karim Toubba, dijo que la investigación de la compañía con la firma de ciberseguridad Mandiant reveló que el malhechor tuvo acceso interno a sus sistemas durante cuatro días. Pudieron robar parte del código fuente y la información técnica del administrador de contraseñas, pero su acceso estaba limitado al entorno de desarrollo del servicio que no está conectado a los datos de los clientes ni a las bóvedas cifradas. Además, Toubba señaló que LastPass no tiene acceso a las contraseñas maestras de los usuarios, que son necesarias para descifrar sus bóvedas.
El CEO dijo que no hay evidencia de que este incidente «involucre ningún acceso a los datos del cliente o bóvedas de contraseñas encriptadas». Tampoco encontraron evidencia de acceso no autorizado más allá de esos cuatro días y de ningún rastro de que el pirata informático haya inyectado código malicioso en los sistemas. Toubba explicó que el mal actor pudo infiltrarse en los sistemas del servicio al comprometer el punto final de un desarrollador. Luego, el pirata informático se hizo pasar por el desarrollador «una vez que el desarrollador se había autenticado con éxito mediante la autenticación de múltiples factores».
En 2015, LastPass sufrió una brecha de seguridad que comprometió las direcciones de correo electrónico de los usuarios, los hash de autenticación, los recordatorios de contraseñas y otra información. Una brecha similar sería más devastadora hoy, ahora que el servicio supuestamente tiene más de 33 millones de clientes registrados. Si bien LastPass no les pide a los usuarios que hagan nada para mantener sus datos seguros esta vez, siempre es una buena práctica no reutilizar las contraseñas y activar la autenticación de múltiples factores.
Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a través de uno de estos enlaces, podemos ganar una comisión de afiliado. Todos los precios son correctos en el momento de la publicación.