LastPass tiene un doozy de un anuncio actualizado sobre una violación de datos reciente: la compañía, que promete mantener todas sus contraseñas en un lugar seguro, ahora dice que los piratas informáticos pudieron «copiar una copia de seguridad de los datos de la bóveda del cliente», lo que significa que, en teoría, ahora tienen acceso a todas esas contraseñas si pueden crackear las bóvedas robadas (a través de TechCrunch).
Si tiene una cuenta que usa para almacenar contraseñas e información de inicio de sesión en LastPass, o solía tener una y no la había eliminado antes de este otoño, su bóveda de contraseñas puede estar en manos de piratas informáticos. Aún así, la compañía afirma que podría estar seguro si tiene una contraseña maestra segura y su configuración predeterminada más reciente. Sin embargo, si tiene una contraseña maestra débil o menos segura, la compañía dice que «como medida de seguridad adicional, debe considerar minimizar el riesgo cambiando las contraseñas de los sitios web que ha almacenado».
Eso podría significar cambiar las contraseñas de todos los sitios web en los que confió LastPass para almacenar.
Si bien LastPass insiste en que las contraseñas aún están protegidas por la contraseña maestra de la cuenta, es difícil confiar en su palabra en este momento, dada la forma en que maneja estas divulgaciones.
cuando la empresa anunció que había sido violada en agosto, dijo que no creía que se hubiera accedido a los datos del usuario. Luego, en noviembre, LastPass lo dijo detectó una intrusión, que aparentemente se basó en información robada en el incidente de agosto (hubiera sido agradable escuchar sobre esa posibilidad en algún momento entre agosto y noviembre). Esa intrusión permitió que alguien «obtuviera acceso a ciertos elementos» de la información del cliente. Resulta que esos «ciertos elementos» eran, ya sabes, las cosas más importantes y secretas que almacena LastPass. La compañía dice que «no hay evidencia de que se haya accedido a datos de tarjetas de crédito sin cifrar», pero eso probablemente hubiera sido preferible a lo que los piratas informáticos realmente se salieron con la suya. Al menos es fácil cancelar una tarjeta o dos.
Se copió una copia de seguridad de las bóvedas de los clientes desde el almacenamiento en la nube
Veremos cómo sucedió todo esto en un momento, pero esto es lo que dice el CEO de LastPass, Karim Toubba, sobre las bóvedas que se tomaron:
El actor de amenazas también pudo copiar una copia de seguridad de los datos de la bóveda del cliente desde el contenedor de almacenamiento cifrado que se almacena en un formato binario patentado que contiene datos no cifrados, como URL de sitios web, así como campos confidenciales totalmente encriptados, como nombres de usuario y contraseñas de sitios web, notas seguras y datos rellenados en formularios.
Toubba dice que la única forma en que un actor malicioso podría acceder a esos datos cifrados y, por lo tanto, a sus contraseñas, sería con su contraseña maestra. LastPass dice que nunca ha tenido acceso a las contraseñas maestras.
Es por eso que dice, «sería extremadamente difícil intentar adivinar contraseñas maestras por fuerza bruta», siempre que tenga una muy buena contraseña maestra que nunca reutilice (y siempre que no haya algún defecto técnico en el camino). LastPass cifró los datos, aunque la empresa ha hecho algunos errores de seguridad bastante básicos antes). Pero quienquiera que tenga estos datos podría intentar desbloquearlos adivinando contraseñas aleatorias, también conocido como fuerza bruta.
LastPass dice que usar sus valores predeterminados recomendados deberían protegerlo de ese tipo de ataque, pero no menciona ningún tipo de característica que impida que alguien intente desbloquear una bóveda repetidamente durante días, meses o años. También existe la posibilidad de que las contraseñas maestras de las personas sean accesibles de otras maneras: si alguien reutiliza su contraseña maestra para otros inicios de sesión, es posible que se haya filtrado durante otras filtraciones de datos.
También vale la pena señalar que si tiene una cuenta anterior (antes de una configuración predeterminada más nueva introducida después de 2018), es posible que se haya utilizado un proceso de fortalecimiento de contraseña más débil para proteger su contraseña maestra. Según LastPass, actualmente utiliza «una implementación más sólida de lo habitual de 100 100 iteraciones de la función de derivación de clave basada en contraseña», pero cuando Borde miembro del personal verificó su cuenta anterior usando un enlace la compañía incluye en su blog, les dijo que su cuenta estaba configurada para 5,000 iteraciones.
Quizás lo más preocupante son los datos sin cifrar, dado que incluye URL, podría dar a los piratas informáticos una idea de en qué sitios web tiene cuentas. Si decidieran apuntar a usuarios particulares, eso podría ser información poderosa cuando se combina con phishing u otros tipos de ataques.
Si fuera cliente de LastPass, no estaría contento con la forma en que la empresa ha revelado esta información.
Si bien nada de eso es una gran noticia, todo es algo que, en teoría, podría sucederle a cualquier empresa que almacene secretos en la nube. En ciberseguridad, el nombre del juego no es tener un historial 100 por ciento perfecto; es cómo reaccionas ante los desastres cuando ocurren.
Y aquí es donde LastPass, en mi opinión, ha fallado absolutamente.
Recuerde, está haciendo este anuncio hoy, el 22 de diciembre, tres días antes de Navidad, un momento en que muchos departamentos de TI estarán en gran medida de vacaciones y cuando es probable que las personas no presten atención a las actualizaciones de su administrador de contraseñas.
(Además, el anuncio no llega a la parte sobre la copia de las bóvedas hasta cinco párrafos en. Y aunque parte de la información está en negrita, creo que es justo esperar que un anuncio tan importante esté en la parte superior).
LastPass dice que la copia de seguridad de la bóveda no se vio comprometida inicialmente en agosto; en cambio, su historia es que el actor de amenazas usó información de esa violación para apuntar a un empleado que tenía acceso a un servicio de almacenamiento en la nube de un tercero. Las bóvedas se almacenaron y se copiaron de uno de los volúmenes a los que se accedió en ese almacenamiento en la nube, junto con copias de seguridad que contenían «información básica de la cuenta del cliente y metadatos relacionados». Eso incluye cosas como «nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedían al servicio de LastPass», según LastPass.
Toubba dice que la empresa está tomando todo tipo de precauciones como resultado de la infracción inicial y la infracción secundaria que expuso las copias de seguridad, incluida la adición de más registros para detectar actividades sospechosas en el futuro, la reconstrucción de su entorno de desarrollo, la rotación de credenciales y más.
Todo eso está bien, y debería hacer esas cosas. Pero si fuera un usuario de LastPass, estaría considerando seriamente dejar la empresa en este momento, porque estamos viendo uno de dos escenarios aquí: o la empresa no sabía que las copias de seguridad que contenían las bóvedas de los usuarios estaban en el servicio de almacenamiento en la nube cuando anunció que había detectado actividad inusual allí el 30 de noviembre, o hizo sabían y optaron por no decirles a los clientes sobre la posibilidad de que los piratas informáticos hubieran tenido acceso a ellos. Ninguno de los dos es un buen aspecto.