Después de todo, la vulnerabilidad de LastPass permitió el acceso a los datos de los clientes.

La vulnerabilidad de LastPass, que apareció en agosto, permitió a los atacantes acceder a los datos de los clientes, dice la compañía. Anteriormente, había dicho que no se comprometían los datos de los clientes. El propietario de LastPass, LogMeIn, enfatiza que las contraseñas de los clientes no se han visto comprometidas porque la empresa utiliza el cifrado de extremo a extremo, por lo que solo el suscriptor tiene la clave de descifrado…

antecedentes

LastPass es un administrador de contraseñas que compite con 1Password. Con estos, todas sus contraseñas se almacenan en forma encriptada, y puede usar una sola contraseña maestra para iniciar sesión en cualquier sitio web para desbloquear su bóveda. Cuando sus dispositivos están en su posesión de forma segura y protegidos por su propia seguridad, normalmente dejaría su bóveda desbloqueada por el resto del día para permitir un inicio de sesión sin problemas en todas sus cuentas. La compañía confirmó una brecha de seguridad reportada en agosto. Un atacante obtuvo acceso al entorno de desarrollo de la empresa y pudo acceder al código fuente y otros datos técnicos. LogMeIn dijo en ese momento que no había acceso ni a los datos del cliente ni al entorno de producción (lo que significa que el atacante no podía enviar una actualización comprometida a los usuarios). Sin embargo, el informe de hoy revela que los datos de los clientes se vieron comprometidos posteriormente. (Resulta que una advertencia de seguridad anterior no estaba relacionada con LastPass: era un atacante que usaba credenciales obtenidas en otro lugar para intentar acceder a las cuentas de LastPass, pero era poco probable que un servicio lo hiciera).

Brecha de seguridad de LastPass peor de lo informado

LogMeIn ahora ha declarado que si bien el ataque original no permitió el acceso a los datos del cliente, la información obtenida durante ese ataque se utilizó posteriormente para hacerlo.

Recientemente notamos una actividad inusual en un servicio de almacenamiento en la nube de un tercero que actualmente utilizan LastPass y su subsidiaria GoTo. Inmediatamente iniciamos una investigación, contratamos a Mandiant, una empresa de seguridad líder, y alertamos a las fuerzas del orden. Hemos determinado que una parte no autorizada pudo obtener acceso a ciertos elementos de la información de nuestros clientes utilizando información obtenida en agosto de 2022. Las contraseñas de nuestros clientes permanecen cifradas de forma segura gracias a la arquitectura de conocimiento cero de LastPass.

El CEO de la compañía, Karim Toubba, dice que todavía está trabajando para determinar el alcance del ataque e identificar los datos específicos de los clientes a los que se accedió. Esperamos que la empresa notifique a los clientes afectados una vez que lo haya hecho.

Compañía enfatiza recomendaciones de seguridad

La compañía ha alertado a los usuarios sobre sus recomendaciones de seguridad para usar LastPass. Por supuesto, lo más importante aquí es asegurarse de utilizar una contraseña única y muy segura como contraseña maestra. Cualquiera que pudiera obtener esa contraseña tendría acceso a todos sus inicios de sesión.

La opinión de 9to5Mac

Cualquier violación de los datos de los clientes es vergonzosa, pero nunca más que con un administrador de contraseñas. Esperamos que la empresa sea totalmente transparente durante el curso de su investigación y una vez finalizada. También debe comunicarse directamente con todos los clientes a cuyos datos se ha accedido para descubrir exactamente qué información se ha visto comprometida. FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.

---

Visite 9to5Mac en YouTube para obtener más noticias de Apple: