imágenes falsas
LastPass, uno de los principales administradores de contraseñas, dijo que los piratas informáticos obtuvieron una gran cantidad de información personal perteneciente a sus clientes, así como contraseñas encriptadas y cifradas y otros datos almacenados en las bóvedas de los clientes.
La revelación, al corriente el jueves, representa una actualización dramática de una brecha que LastPass reveló en agosto. En ese momento, la compañía dijo que un actor de amenazas obtuvo acceso no autorizado a través de una sola cuenta de desarrollador comprometida a partes del entorno de desarrollo del administrador de contraseñas y “tomó partes del código fuente y alguna información técnica patentada de LastPass”. La compañía dijo en ese momento que las contraseñas maestras de los clientes, las contraseñas encriptadas, la información personal y otros datos almacenados en las cuentas de los clientes no se vieron afectados.
Datos confidenciales, tanto encriptados como no, copiados
En la actualización del jueves, la compañía dijo que los piratas informáticos accedieron a información personal y metadatos relacionados, incluidos nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP que los clientes usaron para acceder a los servicios de LastPass. Los piratas informáticos también copiaron una copia de seguridad de los datos de la bóveda del cliente que incluía datos no cifrados, como URL de sitios web y campos de datos cifrados, como nombres de usuario y contraseñas de sitios web, notas seguras y datos rellenados en formularios.
“Estos campos cifrados permanecen protegidos con cifrado AES de 256 bits y solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario mediante nuestra arquitectura Zero Knowledge”, escribió el director general de LastPass, Karim Toubba, refiriéndose al Esquema de cifrado avanzado y un poco tasa que se considera fuerte. Zero Knowledge se refiere a los sistemas de almacenamiento que son imposibles de descifrar para el proveedor de servicios. El director ejecutivo continuó:
Como recordatorio, LastPass nunca conoce la contraseña maestra y LastPass no la almacena ni la mantiene. El cifrado y descifrado de datos se realiza solo en el cliente local de LastPass. Para obtener más información sobre nuestra arquitectura Zero Knowledge y los algoritmos de cifrado, consulte aquí.
La actualización decía que en la investigación de la compañía hasta el momento, no hay indicios de que se haya accedido a datos de tarjetas de crédito sin cifrar. LastPass no almacena los datos de la tarjeta de crédito en su totalidad, y los datos de la tarjeta de crédito que almacena se mantienen en un entorno de almacenamiento en la nube diferente al que accedió el atacante.
La intrusión revelada en agosto que permitió a los piratas informáticos robar el código fuente de LastPass y la información técnica patentada parece estar relacionada con una violación separada de Twilio, un proveedor de servicios de comunicación y autenticación de dos factores con sede en San Francisco. El actor de amenazas en esa brecha robó datos de 163 de los clientes de Twilio. Los mismos phishers que atacaron a Twilio también violaron al menos otras 136 empresas, incluida LastPass.
La actualización del jueves decía que el actor de amenazas podría usar el código fuente y la información técnica robada de LastPass para piratear a un empleado de LastPass y obtener credenciales de seguridad y claves para acceder y descifrar volúmenes de almacenamiento dentro del servicio de almacenamiento basado en la nube de la compañía.
“Hasta la fecha, hemos determinado que una vez que se obtuvieron la clave de acceso al almacenamiento en la nube y las claves de descifrado del contenedor de almacenamiento dual, el atacante copió información de la copia de seguridad que contenía información básica de la cuenta del cliente y metadatos relacionados, incluidos los nombres de las empresas, los nombres de los usuarios finales, la facturación. direcciones, direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedían al servicio de LastPass”, dijo Toubba. “El actor de amenazas también pudo copiar una copia de seguridad de los datos de la bóveda del cliente desde el contenedor de almacenamiento encriptado, que se almacena en un formato binario patentado que contiene datos no encriptados, como URL de sitios web, así como campos confidenciales completamente encriptados, como nombres de usuario y contraseñas de sitios web, notas seguras y datos rellenados en formularios”.
Los representantes de LastPass no respondieron a un correo electrónico preguntando a cuántos clientes se les había copiado la información.
Refuerce su seguridad ahora
La actualización del jueves también enumeró varios remedios que LastPass ha tomado para reforzar su seguridad luego de la violación. Los pasos incluyen desmantelar el desarrollo pirateado y reconstruirlo desde cero, retener un servicio de respuesta y detección de punto final administrado, y rotar todas las credenciales y certificados relevantes que pueden haber sido afectados.
Dada la confidencialidad de los datos almacenados por LastPass, es alarmante que se haya obtenido una cantidad tan amplia de datos personales. Si bien aún no hay evidencia de que se hayan obtenido contraseñas maestras, no hay forma de descartarlo, particularmente dado lo metódico e ingenioso que fue el actor de amenazas.
Los clientes de LastPass deben asegurarse de haber cambiado su contraseña maestra y de utilizar la configuración predeterminada de LastPass. Esas configuraciones codifican las contraseñas almacenadas usando 100,100 iteraciones de la función de derivación de clave basada en contraseña (PBKDF2), un algoritmo de hash que hace que sea inviable descifrar contraseñas maestras que son largas, únicas y generadas aleatoriamente. Los clientes de LastPass pueden comprobar el número actual de iteraciones de PBKDF2 para sus cuentas aquí.
Los clientes de LastPass también deben estar más atentos a los correos electrónicos de phishing y las llamadas telefónicas supuestamente de LastPass u otros servicios que buscan datos confidenciales y otras estafas que explotan sus datos personales comprometidos. La empresa también tiene consejos específicos para clientes comerciales que implementaron los servicios de inicio de sesión federado de LastPass.