El administrador líder de contraseñas LastPass y su afiliado, el proveedor de software de comunicaciones GoTo, revelaron que sufrieron una brecha en su infraestructura de almacenamiento en la nube luego de un ataque cibernético en agosto de 2022.
en una actualización (se abre en una pestaña nueva) con respecto al incidente en curso, la compañía admite que recientemente detectó «actividad inusual» dentro de un servicio de almacenamiento en la nube de terceros utilizado tanto por LastPass como por GoTo.
Los resultados de la investigación de LastPass, firmada por el CEO de LastPass, Karim Toubba, e involucrando a expertos en seguridad de Mandiant, mostraron que alguien usó las credenciales filtradas en el incidente para obtener acceso a «ciertos elementos» de la información del cliente de LastPass.
Las contraseñas son seguras
Toubba no entró en más detalles sobre el tipo de datos a los que se accedió, pero sí dijo que las contraseñas de los usuarios no se tocaron.
“Las contraseñas de nuestros clientes permanecen encriptadas de forma segura gracias a la arquitectura Zero Knowledge de LastPass”, dijo.
«Mientras nuestra investigación está en curso, hemos logrado un estado de contención, implementamos medidas de seguridad mejoradas adicionales y no vemos más evidencia de actividad no autorizada».
En virtud de ser uno de los administradores y generadores de contraseñas comerciales más populares que existen, con más de 100 000 empresas que confían en él a diario, LastPass no es ajeno a las filtraciones de datos cometidas por los ciberdelincuentes.
TechRadar Pro informó anteriormente que la compañía confirmó a fines de septiembre de 2022 que el actor de amenazas responsable de la violación original en agosto estuvo al acecho durante días en su red, antes de ser expulsado.
Sin embargo, el actor de amenazas no logró acceder a los datos internos de los clientes ni a las bóvedas de contraseñas cifradas en ese momento. LastPass afirma que el último desarrollo no ha cambiado eso, debido a su arquitectura Zero Knowledge. (se abre en una pestaña nueva).
«Aunque el actor de amenazas pudo acceder al entorno de desarrollo, el diseño y los controles de nuestro sistema impidieron que el actor de amenazas accediera a los datos de los clientes o a las bóvedas de contraseñas cifradas», dijo Toubba en ese momento.
Aparentemente, el atacante pudo acceder al entorno de desarrollo de la empresa a través del punto final comprometido de un desarrollador.
La investigación y el análisis forense no lograron determinar el método exacto utilizado para el compromiso inicial del punto final, Toubba dijo que los atacantes utilizaron su acceso persistente para hacerse pasar por el desarrollador después de autenticarse con éxito con la autenticación multifactor.