 |
LastPass ha revelado hoy que atacantes robaron datos de bóvedas de clientes después de violar su almacenamiento en la nube a principios de este año utilizando información robada durante un incidente en agosto de 2022. Esto sigue a una actualización anterior emitida el mes pasado, cuando el CEO de la compañía, Karim Toubba, se limitó a decir que los atacantes obtuvieron acceso a "ciertos elementos" de la información del cliente. |
Hoy, Toubba agregó que el servicio de almacenamiento en la nube es utilizado por LastPass para almacenar copias de seguridad archivadas de los datos de producción.
Este atacante accedió al almacenamiento en la nube de Lastpass utilizando "la clave de acceso al almacenamiento en la nube y las claves de descifrado del contenedor de almacenamiento dual" robadas de su entorno de desarrolladores.
"El actor de la amenaza copió información de la copia de seguridad que contenía información básica de la cuenta del cliente y metadatos relacionados, incluyendo nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedían al servicio LastPass", dijo Toubba.
"El actor de la amenaza también pudo copiar una copia de seguridad de los datos de la bóveda del cliente del contenedor de almacenamiento cifrado que se almacena en un formato binario propietario que contiene tanto datos no cifrados, como URL de sitios web, así como campos confidenciales totalmente cifrados, tales como nombres de usuario y contraseñas de sitios web, notas seguras y datos rellenados de formularios."
Algunos de los datos robados de la bóveda están "encriptados de forma segura"
Afortunadamente, los datos cifrados están protegidos con un cifrado AES de 256 bits y sólo pueden descifrarse con una clave de cifrado única derivada de la contraseña maestra de cada usuario.
Según Toubba, LastPass nunca conoce la contraseña maestra, no se almacena en los sistemas de Lastpass y LastPass no la mantiene.
También se advirtió a los clientes de que los atacantes podrían intentar forzar sus contraseñas maestras para acceder a los datos cifrados robados.
Sin embargo, esto sería muy difícil y llevaría mucho tiempo si has estado siguiendo las mejores prácticas de contraseñas recomendadas por LastPass.
Si lo haces, "tardarían millones de años en adivinar tu contraseña maestra utilizando la tecnología de descifrado de contraseñas generalmente disponible", añadió Toubba.
Dos brechas en un mismo año
La violación del almacenamiento en la nube es el segundo incidente de seguridad revelado por la empresa desde principios de año, después de confirmar en agosto que su entorno de desarrolladores había sido violado mediante una cuenta de desarrollador comprometida.
Lastpass publicó el aviso de agosto días después de que BleepingComputer se pusiera en contacto con la empresa y no recibiera respuesta a las preguntas sobre una posible brecha.
En los correos electrónicos enviados a los clientes, Lastpass confirmó que los atacantes habían robado información técnica y código fuente de sus sistemas.
En una actualización de seguimiento, la compañía también reveló que el atacante detrás de la brecha de agosto mantuvo el acceso interno a sus sistemas durante cuatro días hasta que fue desalojado.
LastPass afirma que su software de gestión de contraseñas es utilizado por más de 33 millones de personas y 100.000 empresas en todo el mundo.