Usuarios de LastPass: su información y datos de la bóveda de contraseñas ahora están en manos de piratas informáticos


Getty Images LastPass, uno de los principales administradores de contraseñas, dijo que los piratas informáticos obtuvieron una gran cantidad de información personal de sus clientes, así como contraseñas cifradas y cifradas y otros datos almacenados en las bóvedas de los clientes. La revelación, publicada el jueves, es una actualización dramática de una violación de LastPass revelada en agosto.En ese momento, la compañía dijo que un atacante obtuvo acceso no autorizado a partes del entorno de desarrollo del administrador de contraseñas utilizando una sola cuenta de desarrollador comprometida y «partes del código fuente y cierta información técnica patentada de LastPass». La compañía dijo en ese momento que las contraseñas maestras de los clientes, las contraseñas encriptadas, la información personal y otros datos almacenados en las cuentas de los clientes no se vieron afectados.

Datos confidenciales, tanto encriptados como no encriptados, copiados

En la actualización del jueves, la compañía dijo que los piratas informáticos accedieron a información de identificación personal y metadatos relacionados, incluidos nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP, que los clientes usaron para acceder a los servicios de LastPass. Los piratas informáticos también copiaron una copia de seguridad de los datos de la bóveda del cliente, que contenía datos no cifrados, como URL de sitios web y campos de datos cifrados, como nombres de usuario y contraseñas de sitios web, notas seguras y datos de formularios. “Estos campos cifrados permanecen protegidos con cifrado AES de 256 bits y solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario mediante nuestra arquitectura de conocimiento cero”, escribió Karim Toubba, CEO de LastPass, refiriéndose al Esquema de cifrado avanzado y una tasa de bits, que se considera fuerte. El conocimiento cero se refiere a los sistemas de almacenamiento que son imposibles de descifrar para el proveedor de servicios. El CEO continuó: Publicidad

Como recordatorio, LastPass nunca conoce la contraseña maestra y LastPass no la almacena ni la mantiene. El cifrado y descifrado de datos solo se realiza en el cliente local de LastPass. Puede encontrar más información sobre nuestra arquitectura de conocimiento cero y algoritmos de encriptación aquí.

La actualización establece que no hay indicios en las investigaciones de la compañía hasta el momento de que se haya accedido a datos de tarjetas de crédito sin cifrar. LastPass no almacena completamente la información de la tarjeta de crédito, y la información de la tarjeta de crédito almacenada se mantiene en un entorno de almacenamiento en la nube diferente al que accede el atacante. La brecha de agosto, que permitió a los piratas informáticos robar el código fuente de LastPass y la información técnica patentada, parece estar relacionada con una brecha separada contra Twilio, un proveedor de servicios de comunicación y autenticación de dos factores con sede en San Francisco. El actor de amenazas en esta violación robó datos de 163 de los clientes de Twilio. Los mismos phishers que atacaron a Twilio también dañaron al menos a otras 136 empresas, incluida LastPass. La actualización del jueves dijo que el atacante podría usar el código fuente y la información técnica robada de LastPass para piratear a un empleado de LastPass y obtener credenciales y claves de seguridad para acceder y descifrar volúmenes de almacenamiento dentro del servicio de almacenamiento basado en la nube de la empresa. «Hasta ahora, hemos descubierto que después de obtener la clave de acceso al almacenamiento en la nube y las claves de descifrado del contenedor de almacenamiento dual, el atacante copió información de la copia de seguridad que contenía información básica de la cuenta del cliente y metadatos asociados, incluidos los nombres de las empresas, los nombres de los usuarios finales y las direcciones de facturación. direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedieron al servicio de LastPass”, dijo Toubba. “El atacante también pudo copiar una copia de seguridad de los datos de la bóveda del cliente desde el contenedor de almacenamiento encriptado, que se almacena en un formato binario patentado que contiene datos no encriptados, como URL de sitios web, y campos confidenciales completamente encriptados, como nombres de usuario y contraseñas de sitios web, seguro. notas y datos de formularios”. El personal de LastPass no respondió a un correo electrónico preguntando cuántos clientes copiaron sus datos.

Aumenta tu seguridad ahora

La actualización del jueves también enumeró varias acciones correctivas que tomó LastPass para fortalecer su seguridad luego de la violación. Los pasos incluyen poner fuera de servicio el desarrollo pirateado y reconstruirlo desde cero, retener un servicio de respuesta y detección de punto final administrado, y rotar cualquier credencial y certificado relevante que pueda haberse visto afectado. Dada la confidencialidad de los datos almacenados por LastPass, es alarmante que se haya recopilado tanta información de identificación personal. Si bien descifrar los hash de la contraseña requeriría una gran cantidad de recursos, no está descartado, especialmente considerando cuán metódico e ingenioso fue el atacante. Los clientes de LastPass deben asegurarse de haber cambiado su contraseña maestra y cualquier contraseña almacenada en su bóveda. También debe asegurarse de que utilicen configuraciones que vayan más allá del estándar de LastPass. Estas configuraciones codifican las contraseñas almacenadas usando 100,100 iteraciones de la función de derivación de clave basada en contraseña (PBKDF2), un esquema de cifrado que puede hacer que las contraseñas maestras largas, únicas y generadas aleatoriamente sean imposibles de descifrar. Las 100 100 iteraciones están lamentablemente por debajo del umbral de 310 000 iteraciones que OWASP recomienda para PBKDF2 en combinación con el algoritmo hash SHA256 utilizado por LastPass. Los clientes de LastPass pueden consultar el recuento actual de iteraciones de PBKDF2 para sus cuentas aquí. Los clientes de LastPass también deben prestar especial atención a los correos electrónicos de phishing y las llamadas telefónicas que afirman ser de LastPass u otros servicios que buscan información confidencial y otras estafas que se aprovechan de su información personal comprometida. La empresa también tiene consejos específicos para clientes comerciales que han implementado los servicios de inicio de sesión federado de LastPass.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.