\n<\/aside>\n<\/p>\n
LastPass, uno de los principales administradores de contrase\u00f1as, dijo que los piratas inform\u00e1ticos obtuvieron una gran cantidad de informaci\u00f3n personal perteneciente a sus clientes, as\u00ed como contrase\u00f1as encriptadas y cifradas y otros datos almacenados en las b\u00f3vedas de los clientes.<\/p>\n
La revelaci\u00f3n, publicada el jueves, representa una actualizaci\u00f3n dram\u00e1tica de una brecha que LastPass revel\u00f3 en agosto. En ese momento, la compa\u00f1\u00eda dijo que un actor de amenazas obtuvo acceso no autorizado a trav\u00e9s de una sola cuenta de desarrollador comprometida a partes del entorno de desarrollo del administrador de contrase\u00f1as y \u00abtom\u00f3 partes del c\u00f3digo fuente y alguna informaci\u00f3n t\u00e9cnica patentada de LastPass\u00bb. La compa\u00f1\u00eda dijo en ese momento que las contrase\u00f1as maestras de los clientes, las contrase\u00f1as encriptadas, la informaci\u00f3n personal y otros datos almacenados en las cuentas de los clientes no se vieron afectados.<\/p>\n
Datos confidenciales, tanto encriptados como no, copiados<\/h2>\n En la actualizaci\u00f3n del jueves, la compa\u00f1\u00eda dijo que los piratas inform\u00e1ticos accedieron a informaci\u00f3n personal y metadatos relacionados, incluidos nombres de empresas, nombres de usuarios finales, direcciones de facturaci\u00f3n, direcciones de correo electr\u00f3nico, n\u00fameros de tel\u00e9fono y direcciones IP que los clientes usaron para acceder a los servicios de LastPass. Los piratas inform\u00e1ticos tambi\u00e9n copiaron una copia de seguridad de los datos de la b\u00f3veda del cliente que inclu\u00eda datos no cifrados, como URL de sitios web y campos de datos cifrados, como nombres de usuario y contrase\u00f1as de sitios web, notas seguras y datos rellenados en formularios.<\/p>\n
\u00abEstos campos cifrados permanecen protegidos con cifrado AES de 256 bits y solo se pueden descifrar con una clave de cifrado \u00fanica derivada de la contrase\u00f1a maestra de cada usuario mediante nuestra arquitectura Zero Knowledge\u00bb, escribi\u00f3 el director general de LastPass, Karim Toubba, refiri\u00e9ndose al Esquema de cifrado avanzado y un poco tasa que se considera fuerte. Zero Knowledge se refiere a los sistemas de almacenamiento que son imposibles de descifrar para el proveedor de servicios. El director ejecutivo continu\u00f3:<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\n\nComo recordatorio, LastPass nunca conoce la contrase\u00f1a maestra y LastPass no la almacena ni la mantiene. El cifrado y descifrado de datos se realiza solo en el cliente local de LastPass. Para obtener m\u00e1s informaci\u00f3n sobre nuestra arquitectura Zero Knowledge y los algoritmos de cifrado, consulte aqu\u00ed.<\/p>\n<\/blockquote>\n
La actualizaci\u00f3n dec\u00eda que en la investigaci\u00f3n de la compa\u00f1\u00eda hasta el momento, no hay indicios de que se haya accedido a datos de tarjetas de cr\u00e9dito sin cifrar. LastPass no almacena los datos de la tarjeta de cr\u00e9dito en su totalidad, y los datos de la tarjeta de cr\u00e9dito que almacena se mantienen en un entorno de almacenamiento en la nube diferente al que accedi\u00f3 el atacante.<\/p>\n
La intrusi\u00f3n revelada en agosto que permiti\u00f3 a los piratas inform\u00e1ticos robar el c\u00f3digo fuente de LastPass y la informaci\u00f3n t\u00e9cnica patentada parece estar relacionada con una violaci\u00f3n separada de Twilio, un proveedor de servicios de comunicaci\u00f3n y autenticaci\u00f3n de dos factores con sede en San Francisco. El actor de amenazas en esa brecha rob\u00f3 datos de 163 de los clientes de Twilio. Los mismos phishers que atacaron a Twilio tambi\u00e9n violaron al menos otras 136 empresas, incluida LastPass.<\/p>\n
La actualizaci\u00f3n del jueves dec\u00eda que el actor de amenazas podr\u00eda usar el c\u00f3digo fuente y la informaci\u00f3n t\u00e9cnica robada de LastPass para piratear a un empleado de LastPass y obtener credenciales de seguridad y claves para acceder y descifrar vol\u00famenes de almacenamiento dentro del servicio de almacenamiento basado en la nube de la compa\u00f1\u00eda.<\/p>\n
\u201cHasta la fecha, hemos determinado que una vez que se obtuvieron la clave de acceso al almacenamiento en la nube y las claves de descifrado del contenedor de almacenamiento dual, el atacante copi\u00f3 informaci\u00f3n de la copia de seguridad que conten\u00eda informaci\u00f3n b\u00e1sica de la cuenta del cliente y metadatos relacionados, incluidos los nombres de las empresas, los nombres de los usuarios finales, la facturaci\u00f3n. direcciones, direcciones de correo electr\u00f3nico, n\u00fameros de tel\u00e9fono y las direcciones IP desde las que los clientes acced\u00edan al servicio de LastPass\u201d, dijo Toubba. \u201cEl actor de amenazas tambi\u00e9n pudo copiar una copia de seguridad de los datos de la b\u00f3veda del cliente desde el contenedor de almacenamiento encriptado, que se almacena en un formato binario patentado que contiene datos no encriptados, como URL de sitios web, as\u00ed como campos confidenciales completamente encriptados, como nombres de usuario y contrase\u00f1as de sitios web, notas seguras y datos rellenados en formularios\u201d.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nLos representantes de LastPass no respondieron a un correo electr\u00f3nico preguntando a cu\u00e1ntos clientes se les hab\u00eda copiado la informaci\u00f3n.<\/p>\n
Refuerce su seguridad ahora<\/h2>\n La actualizaci\u00f3n del jueves tambi\u00e9n enumer\u00f3 varios remedios que LastPass ha tomado para reforzar su seguridad luego de la violaci\u00f3n. Los pasos incluyen desmantelar el desarrollo pirateado y reconstruirlo desde cero, retener un servicio de respuesta y detecci\u00f3n de punto final administrado, y rotar todas las credenciales y certificados relevantes que pueden haber sido afectados.<\/p>\n
Dada la confidencialidad de los datos almacenados por LastPass, es alarmante que se haya obtenido una cantidad tan amplia de datos personales. Tambi\u00e9n es preocupante el hecho de que las b\u00f3vedas de los usuarios ahora est\u00e1n en manos del actor de amenazas. Si bien descifrar los hash de la contrase\u00f1a requerir\u00eda una gran cantidad de recursos, no est\u00e1 fuera de discusi\u00f3n, particularmente dado lo met\u00f3dico e ingenioso que era el actor de amenazas.<\/p>\n
Los clientes de LastPass deben asegurarse de haber cambiado su contrase\u00f1a maestra y todas las contrase\u00f1as almacenadas en su b\u00f3veda. Tambi\u00e9n deben asegurarse de que est\u00e1n usando configuraciones que superan la configuraci\u00f3n predeterminada de LastPass. Esas configuraciones codifican las contrase\u00f1as almacenadas usando 100,100 iteraciones de la funci\u00f3n de derivaci\u00f3n de clave basada en contrase\u00f1a (PBKDF2), un esquema de hash que puede hacer que sea inviable descifrar contrase\u00f1as maestras que son largas, \u00fanicas y generadas aleatoriamente. Las 100 100 iteraciones est\u00e1n lamentablemente por debajo del umbral de 310 000 iteraciones que OWASP recomienda para PBKDF2 en combinaci\u00f3n con el algoritmo hash SHA256 utilizado por LastPass. Los clientes de LastPass pueden verificar el n\u00famero actual de iteraciones de PBKDF2 para sus cuentas aqu\u00ed.<\/p>\n
Tanto si son usuarios de LastPass como si no, todos tambi\u00e9n deber\u00edan crear una cuenta en \u00bfHa sido Pwned? para asegurarse de que se enteran de cualquier incumplimiento que les afecte lo antes posible.<\/p>\n
Los clientes de LastPass tambi\u00e9n deben estar m\u00e1s atentos a los correos electr\u00f3nicos de phishing y las llamadas telef\u00f3nicas supuestamente de LastPass u otros servicios que buscan datos confidenciales y otras estafas que explotan sus datos personales comprometidos. La empresa tambi\u00e9n tiene consejos espec\u00edficos para clientes comerciales que implementaron los servicios de inicio de sesi\u00f3n federado de LastPass.<\/p>\n<\/p><\/div>\n
Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"im\u00e1genes falsas LastPass, uno de los principales administradores de contrase\u00f1as, dijo que los piratas inform\u00e1ticos obtuvieron una gran cantidad de informaci\u00f3n personal perteneciente a sus clientes, as\u00ed como contrase\u00f1as encriptadas…<\/p>\n","protected":false},"author":1,"featured_media":371099,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[6,11169,6746,121,681,4561,9844,39347,8,3042,9151,6512],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/371098"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=371098"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/371098\/revisions"}],"predecessor-version":[{"id":371100,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/371098\/revisions\/371100"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/371099"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=371098"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=371098"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=371098"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}