El hacker que se infiltró en LastPass el mes pasado tuvo acceso durante cuatro días, según la investigación de la empresa. Sin embargo, LastPass no ha encontrado pruebas de que el culpable haya manipulado el código de software de la empresa o haya accedido a la información del usuario, como contraseñas cifradas.
La compañía completó su investigación sobre la violación con la ayuda de la firma de seguridad cibernética Mandiant. Los resultados confirman que el hacker solo logró acceder a los sistemas de TI internos de LastPass dedicados al desarrollo de software.
“Nuestra investigación reveló que la actividad del actor de amenazas se limitó a un período de cuatro días en agosto de 2022”, dijo LastPass en una actualización.(Se abre en una nueva ventana) sobre el incumplimiento. “Durante este período de tiempo, el equipo de seguridad de LastPass detectó la actividad del actor de amenazas y luego contuvo el incidente. No hay evidencia de ninguna actividad de actor de amenazas más allá de la línea de tiempo establecida”.
La investigación también encontró que el atacante explotó un «punto final comprometido» perteneciente a un desarrollador de LastPass, lo que significa que secuestró el acceso a la computadora del desarrollador, posiblemente a través de malware.
“Si bien el método utilizado para el compromiso inicial del punto final no es concluyente, el actor de amenazas utilizó su acceso persistente para hacerse pasar por el desarrollador una vez que el desarrollador se autenticó con éxito mediante la autenticación de múltiples factores”, dice LastPass.
Afortunadamente, la empresa diseñó sus sistemas de software de desarrollo para operar por separado del lado de producción de LastPass. “En segundo lugar, el entorno de desarrollo no contiene datos de clientes ni bóvedas cifradas”, agrega. «En tercer lugar, LastPass no tiene acceso a las contraseñas maestras de las bóvedas de nuestros clientes».
Sin embargo, el acceso permitió al hacker robar algunas partes del código fuente de LastPass. Durante la investigación, la compañía verificó si el atacante pudo haber manipulado algún código de computadora en el lado del desarrollador. “Llevamos a cabo un análisis de nuestro código fuente y compilaciones de producción y confirmamos que no vemos evidencia de intentos de envenenamiento de código o inyección de código malicioso”, dijo LastPass.
Recomendado por Nuestros Editores
La compañía agregó: “Los desarrolladores no tienen la capacidad de pasar el código fuente del entorno de desarrollo a la producción. Esta capacidad está limitada a un equipo de Build Release separado y solo puede ocurrir después de completar los rigurosos procesos de revisión, prueba y validación del código”.
LastPass dice que contrató a «una empresa líder en seguridad cibernética» para reforzar sus medidas de seguridad en torno al acceso y almacenamiento del código fuente de la empresa. “Además, hemos implementado controles de seguridad mejorados que incluyen controles y monitoreo de seguridad de punto final adicionales”, agrega.
Sin embargo, LastPass se negó a responder preguntas sobre quién puede ser responsable del ataque, incluido si está relacionado con una ola reciente de ataques de phishing por SMS contra numerosas empresas. “Hemos completado nuestra investigación sobre el incidente de seguridad y hemos actualizado nuestra publicación de blog(Se abre en una nueva ventana) sobre el incidente para brindar transparencia y tranquilidad a nuestros clientes», dijo en respuesta a una solicitud de comentarios.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.