A truco importante afectar al gigante del administrador de contraseñas LastPass parece mucho peor de lo que se pensaba. En un anuncio de actualización dos días antes de Navidad, el CEO de LastPass, Karim Toubba, admitió que los atacantes pudieron copiar con éxito una copia de seguridad de los datos de la bóveda del cliente. Con esos datos en la mano, los atacantes pueden acceder potencialmente a toda la colección de contraseñas de los usuarios y otros datos almacenados con LastPass si pueden encontrar una manera de adivinar la contraseña maestra de un usuario.
Al tratar de evitar un aumento inmediato en los ataques cardíacos, Toubba advirtió que sería “extremadamente difícil” adivinar por fuerza bruta las contraseñas maestras de los clientes que utilizan la configuración predeterminada y las mejores prácticas de la empresa. Para esos usuarios, los atacantes podrían tardar “millones de años” en descifrar esos códigos utilizando “tecnología de descifrado de contraseñas generalmente disponible”, según el CEO. LastPass dice que no debería tener acceso a las contraseñas maestras de los usuarios.
Sin embargo, esa tranquilidad reconfortante no se aplica necesariamente a los usuarios con contraseñas maestras más débiles. En esos casos, LastPass aconsejó a los usuarios ingresar y cambiar las contraseñas de todos los sitios web que tienen almacenados y que podría significar que le espera un día agotador y laborioso de restablecimiento frenético de la información de la cuenta. Y si bien puede ser cierto que las contraseñas maestras seguras pueden resultar difíciles de adivinar, incluso las contraseñas más seguras podrían estar en riesgo si se usaran en otro sitio que fue violado previamente. No hay escasez
Además de las contraseñas, Toubba dijo que los datos de la bóveda robada incluyen “campos confidenciales totalmente encriptados, como nombres de usuario y contraseñas de sitios web, notas seguras y datos completados en formularios”, junto con URL sin encriptar. Ataques sofisticados, The Verge notaspodría usar la información transmitida a través de los sitios que visita un usuario para diseñar campañas de phishing más convincentes.
LastPass no respondió de inmediato a la solicitud de comentarios de Gizmodo.
Para una empresa cuyo servicio principal gira en torno a la recopilación y protección de contraseñas en un lugar seguro, esto es tan malo como parece. LastPass primero revelado los ataques recientes en una publicación de blog a fines del mes pasado. En ese momento, la compañía dijo crípticamente que el atacante pudo acceder a “ciertos elementos” de la “información de los clientes”, sin proporcionar más detalles. La compañía continuó diciendo que las contraseñas de los clientes no se vieron afectadas por el incidente, que es técnicamente Cierto, pero como ahora sabemos, solo cuenta una parte de la historia.
Para empeorar las cosas, este hack más reciente parece haber sido hecho posible por un incidente anterior ocurrido hace apenas seis meses. En ese caso, la compañía dice que el atacante parece haber robado “código fuente e información técnica” de su entorno de desarrollo y lo usó para apuntar a un empleado para obtener sus credenciales.
Mire, en un mundo digital que requiere que los usuarios tengan docenas y docenas de credenciales, los administradores de contraseñas son cada vez más una necesidad de seguridad. Sin embargo, al mismo tiempo, esa alta concentración de información confidencial hace que los sitios de administración de contraseñas algunos de los más deliciosos objetivos para los malos actores. Ultimo pase debería haber visto venir esto y debería haber divulgado estos detalles a los clientes antes si los hallazgos estuvieran disponibles.