Otra actualización sobre la reciente violación de datos de LastPass ha revelado aún más noticias potencialmente malas para los usuarios del administrador de contraseñas. (se abre en una pestaña nueva).
Paddy Srinivasan, CEO de la empresa matriz de LastPass, GoTo, revelado en una publicación de blog (se abre en una pestaña nueva) que los atacantes que se dirigieron al servicio de almacenamiento en la nube de terceros compartido por ambas empresas lograron exfiltrar copias de seguridad cifradas relacionadas con una serie de productos.
Estos productos incluyen Central, Pro, join.me, Hamachi y RemotelyAnywhere.
Clave de cifrado tomada
Además de las copias de seguridad cifradas, los atacantes también extrajeron una clave de cifrado para «una parte» de las copias de seguridad cifradas, agregó Srinivasan.
Los datos que ahora están en riesgo incluyen nombres de usuario de cuentas, contraseñas con sal y hash, una parte de la configuración de autenticación de múltiples factores (MFA) y algunas configuraciones de productos e información de licencia. La tarjeta de crédito o los datos bancarios no se vieron afectados. También se dijo que las fechas de nacimiento, las direcciones de las casas y los números de Seguro Social eran seguros, ya que GoTo no almacena ninguno de estos.
Además, la configuración de MFA de un «pequeño subconjunto» de usuarios de Rescue y GoToMyPC se ha visto afectada. Sin embargo, se dijo que no se habían tomado bases de datos cifradas.
Si bien todas las contraseñas de las cuentas fueron salteadas y codificadas «de acuerdo con las mejores prácticas», GoTo aún restableció las contraseñas (se abre en una pestaña nueva) de los usuarios afectados y les pidió que reautorizaran la configuración de MFA, siempre que fuera posible. El CEO también dijo que la compañía está migrando las cuentas afectadas a una plataforma de administración de identidad mejorada para brindar seguridad adicional y opciones de seguridad basadas en autenticación y de inicio de sesión más sólidas.
Los clientes afectados están siendo contactados directamente, confirmó Srinivasan.
LastPass informó por primera vez que sufrió una violación de datos en noviembre de 2022. Una investigación inicial determinó que los piratas informáticos lograron robar las bóvedas de los clientes, esencialmente bases de datos que contienen todas sus contraseñas. Sin embargo, las bóvedas en sí mismas están encriptadas, lo que significa que a los ladrones no les resultará tan fácil leer su contenido.
“Estos campos encriptados permanecen protegidos con encriptación AES de 256 bits y solo pueden desencriptarse con una clave de encriptación única derivada de la contraseña maestra de cada usuario utilizando nuestra arquitectura Zero Knowledge”, dijo Karim Toubba, CEO de LastPass. «Como recordatorio, LastPass nunca conoce la contraseña maestra y LastPass no la almacena ni la mantiene».