Un pirata informático se ha infiltrado en el administrador de contraseñas LastPass, pero la investigación inicial de la empresa muestra que la intrusión solo atrapó los sistemas internos de la empresa para el desarrollo de software, no los datos relacionados con las contraseñas de los clientes.
El jueves, LastPass envió un correo electrónico a los clientes sobre la infracción, que la empresa detectó hace unas dos semanas.
“Hemos determinado que una parte no autorizada obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una sola cuenta de desarrollador comprometida y tomó partes del código fuente y cierta información técnica patentada de LastPass”, dijo la compañía.
“No tenemos evidencia de que este incidente involucre ningún acceso a datos de clientes o bóvedas de contraseñas encriptadas”, agregó el mensaje.
(Crédito: LastPass)
En respuesta, la compañía implementó «medidas de contención y mitigación» y contrató a una firma líder en seguridad cibernética para investigar la intrusión. La compañía también ha publicado una sección de preguntas frecuentes.(Se abre en una nueva ventana) que señala que todos los productos y servicios de LastPass han estado funcionando normalmente, a pesar de la infracción.
LastPass no ha proporcionado otros detalles mientras el proveedor se embarca en la investigación forense. Pero una de las principales preocupaciones es si los datos patentados robados allanarán el camino para que los ciberdelincuentes descubran vulnerabilidades en los productos de gestión de contraseñas de la empresa.
Por ahora, las notas de preguntas frecuentes de la compañía LastPass no almacenan información sobre la «Contraseña maestra» que los clientes usan para acceder a sus cuentas a través del servicio de administración de contraseñas. En cambio, la empresa se basa en un modelo de encriptación de «conocimiento cero».(Se abre en una nueva ventana) para desbloquear el acceso a la cuenta de un usuario. Esto implica almacenar la contraseña maestra únicamente en el dispositivo del cliente.
Recomendado por Nuestros Editores
“En este momento, no recomendamos ninguna acción en nombre de nuestros usuarios o administradores”, agrega la sección de preguntas frecuentes de la empresa. Pero para una protección adicional, considere activar la autenticación multifactor(Se abre en una nueva ventana) en tu cuenta. LastPass planea actualizar a los clientes sobre la investigación a medida que avanza.
Neil J. Rubenking, analista principal de seguridad de PCMag, recibió el correo electrónico de LastPass, pero dice que no está preocupado. Incluso si los datos accedidos hubieran incluido bóvedas de contraseñas encriptadas, «el ladrón no tendría forma de ingresar sin la contraseña. Y LastPass (como todos los administradores de contraseñas) nunca almacena su contraseña, solo un hash de la contraseña», dijo.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.