lo has escuchado una y otra vez: necesita usar un administrador de contraseñas para generar contraseñas seguras y únicas y realizar un seguimiento de ellas por usted. Y si finalmente se lanzó con una opción gratuita y convencional, especialmente durante la década de 2010, probablemente fue LastPass. Sin embargo, para los 25,6 millones de usuarios del servicio de seguridad, la empresa hizo un anuncio preocupante el 22 de diciembre: un incidente de seguridad que la empresa había informado previamente (el 30 de noviembre) fue en realidad una violación de datos masiva y preocupante que expuso bóvedas de contraseñas encriptadas: las joyas de la corona. de cualquier administrador de contraseñas, junto con otros datos de usuario.
Los detalles que proporcionó LastPass sobre la situación hace una semana fueron lo suficientemente preocupantes como para que los profesionales de seguridad rápidamente comenzaran a llamar a los usuarios para que cambiaran a otros servicios. Ahora, casi una semana después de la divulgación, la compañía no ha brindado información adicional a los clientes confundidos y preocupados. LastPass no ha devuelto las múltiples solicitudes de comentarios de WIRED sobre cuántas bóvedas de contraseñas se vieron comprometidas en la violación y cuántos usuarios se vieron afectados.
La compañía ni siquiera ha aclarado cuándo ocurrió la violación. Parece haber sido en algún momento después de agosto de 2022, pero el momento es significativo, porque una gran pregunta es cuánto tiempo les llevará a los atacantes comenzar a «descifrar» o adivinar las claves utilizadas para cifrar las bóvedas de contraseñas robadas. Si los atacantes han tenido tres o cuatro meses con los datos robados, la situación es aún más urgente para los usuarios de LastPass afectados que si los piratas informáticos solo han tenido unas pocas semanas. La compañía tampoco respondió a las preguntas de WIRED sobre lo que llama «un formato binario patentado» que utiliza para almacenar datos de bóveda cifrados y no cifrados. Al caracterizar la escala de la situación, la compañía dijo en su anuncio que los piratas informáticos pudieron «copiar una copia de seguridad de los datos de la bóveda del cliente desde el contenedor de almacenamiento encriptado».
“En mi opinión, están haciendo un trabajo de clase mundial al detectar incidentes y un trabajo realmente pésimo al prevenir problemas y responder de manera transparente”, dice Evan Johnson, un ingeniero de seguridad que trabajó en LastPass hace más de siete años. “Estaría buscando nuevas opciones o buscando ver un enfoque renovado en generar confianza en los próximos meses por parte de su nuevo equipo de administración”.
La violación también incluye otros datos de clientes, incluidos nombres, direcciones de correo electrónico, números de teléfono y cierta información de facturación. Y LastPass ha sido criticado durante mucho tiempo por almacenar los datos de su bóveda en un formato híbrido en el que elementos como las contraseñas están encriptados pero otra información, como las URL, no. En esta situación, las URL de texto sin formato en una bóveda podrían dar a los atacantes una idea de lo que hay dentro y ayudarlos a priorizar en qué bóvedas trabajar primero. Las bóvedas, que están protegidas por una contraseña maestra seleccionada por el usuario, plantean un problema particular para los usuarios que buscan protegerse a sí mismos tras la filtración, porque cambiar esa contraseña principal ahora con LastPass no hará nada para proteger los datos de la bóveda que están ya ha sido robado.
O, como dice Johnson, «con las bóvedas recuperadas, las personas que piratearon LastPass tienen tiempo ilimitado para ataques fuera de línea al adivinar contraseñas e intentar recuperar las claves maestras de usuarios específicos».