LastPass admite la violación de datos del cliente causada por una violación anterior

En agosto de 2022, la popular empresa de gestión de contraseñas LastPass admitido a una violación de datos.

La empresa, propiedad de la empresa de software como servicio GoTo, que antes era LogMeIn, publicó un breve pero útil reporte sobre ese incidente un mes después:

En pocas palabras, LastPass concluyó que los atacantes lograron implantar malware en la computadora de un desarrollador.

Con una cabeza de playa en esa computadora, parece que los atacantes pudieron esperar hasta que el desarrollador pasó por el proceso de autenticación de LastPass, incluida la presentación de las credenciales de autenticación de múltiples factores necesarias, y luego los "atacaron" en los sistemas de desarrollo de la empresa.

LastPass insistió en que la cuenta del desarrollador no les había dado acceso a los delincuentes a ningún dato de los clientes ni, de hecho, a las bóvedas de contraseñas cifradas de nadie.

La empresa admitió, sin embargo, que los ladrones se habían hecho con información de propiedad de LastPass, que incluía en particular "parte de nuestro código fuente e información técnica", y que los delincuentes estuvieron en la red durante cuatro días antes de ser descubiertos y expulsados.

Según LastPass, las contraseñas de los clientes respaldadas en los servidores de la empresa nunca existen en forma descifrada en la nube. La contraseña maestra utilizada para descifrar sus contraseñas guardadas solo se solicita y se utiliza en la memoria de sus propios dispositivos. Por lo tanto, las contraseñas almacenadas en la nube se cifran antes de cargarlas y solo se descifran nuevamente después de descargarlas. En otras palabras, incluso si los datos de la bóveda de contraseñas hubieran sido robados, habrían sido ininteligibles de todos modos.

Últimos desarrollos

Sin embargo, justo a fines de noviembre de 2022, LastPass más admitido que había un poco más en la historia de lo que quizás esperaban.

De acuerdo a una boletín de seguridad con fecha 2022-11-30, la empresa fue violada recientemente por atacantes “utilizando información obtenida en el incidente de agosto de 2022”, y esta vez se robaron los datos del cliente.

En otras palabras, incluso si los delincuentes no pudieran hurgar en los registros de los clientes directamente de la cuenta del desarrollador que se infectó con malware en agosto, parece que los ladrones, sin embargo, se robaron detalles internos que indirectamente les dio a ellos, o a alguien a quien le vendieron los datos, acceso a la información del cliente más adelante.

Desafortunadamente, LastPass aún no brinda información sobre qué tipo de datos de clientes fueron robados, informando simplemente que es “trabajar diligentemente para comprender el alcance del incidente e identificar a qué información específica se ha accedido”.

Todo lo que LastPass puede decir con certeza en este momento [2022-12-01-T23:30Z] es reiterar que "[n]uestras contraseñas de los clientes permanecen cifradas de forma segura gracias a la arquitectura Zero Knowledge de LastPass".

(Conocimiento cero es un término de la jerga que refleja el hecho de que, aunque LastPass conserva algún tipo de datos en las bóvedas de contraseñas de sus clientes, no tiene conocimiento de a qué se refieren realmente esos datos, o incluso si en realidad consisten en nombres de cuentas y contraseñas).

En resumen, incluso si finalmente resulta que los delincuentes podrían haberse apoderado de información personal, como domicilios, números de teléfono y detalles de tarjetas de pago (aunque esperamos que no sea el caso, por supuesto), sus contraseñas seguirán siendo tan seguras como la contraseña maestra que eligió originalmente para usted mismo, que los servicios en la nube de LastPass nunca solicitan, y mucho menos conservan copias.

¿Qué hacer?

• Si es cliente de LastPass, le sugerimos que vigile el informe de incidentes de seguridad de la empresa para obtener actualizaciones.
• Si eres un defensor de la ciberseguridad, por qué no escuchar asesoramiento de expertos del investigador de seguridad cibernética de Sophos, Chester Wisniewski, sobre cómo proteger su propio patrimonio de TI de este tipo de ataque tipo get-a-beachhead-and-go-forth-from-there?

En el podcast a continuación (hay un transcripción completa si prefiere leer a escuchar), Chester analiza una tipo similar de incumplimiento eso sucedió en septiembre de 2022 en el negocio de transporte compartido Uber, y le recuerda por qué "divide y vencerás", también conocido por el término de jerga cero confianza, es una parte importante de la ciberdefensa contemporánea.

Como explica Chester, aunque todas las infracciones causan algún daño, ya sea a su reputación o a sus resultados, el resultado inevitablemente será mucho peor si los delincuentes que obtienen acceso a algo de su red pueden moverse donde quieran hasta que obtengan acceso a todos de la misma.