 |
La brecha de seguridad de LastPass de agosto de 2022 puede haber sido más grave de lo que la empresa había revelado anteriormente. El popular servicio de gestión de contraseñas ha revelado este jueves que agentes maliciosos obtuvieron un alijo de información personal perteneciente a sus clientes que incluye sus bóvedas de contraseñas cifradas mediante el uso de datos desviados de la intrusión anterior. |
Entre los datos robados se encuentran "información básica de la cuenta del cliente y metadatos relacionados, incluyendo nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedían al servicio LastPass", dijo la compañía.
En el incidente de agosto de 2022, que sigue siendo objeto de una investigación en curso, los delincuentes accedieron al código fuente y a información técnica patentada de su entorno de desarrollo a través de una única cuenta de empleado comprometida.
LastPass dijo que esto permitió al atacante no identificado obtener credenciales y claves que posteriormente fueron aprovechadas para extraer información de una copia de seguridad almacenada en un servicio de almacenamiento basado en la nube, que enfatizó está físicamente separado de su entorno de producción.
Además, el atacante habría copiado los datos de las bóvedas de los clientes del servicio de almacenamiento cifrado. Se almacenan en un "formato binario patentado" que contiene datos sin cifrar, como URL de sitios web, y campos totalmente cifrados, como nombres de usuario y contraseñas de sitios web, notas seguras y datos de formularios.
Estos campos, explica la empresa, están protegidos mediante cifrado AES de 256 bits y sólo pueden descifrarse con una clave derivada de la contraseña maestra de los usuarios en sus dispositivos.
LastPass confirmó que el fallo de seguridad no implicaba el acceso a datos no cifrados de tarjetas de crédito, ya que esta información no se archivaba en el contenedor de almacenamiento en la nube.
La empresa no divulgó la fecha de la copia de seguridad, pero advirtió de que el autor de la amenaza "puede intentar utilizar la fuerza bruta para adivinar la contraseña maestra y descifrar las copias de los datos de la bóveda que se llevaron", así como atacar a los clientes con ingeniería social y ataques de suplantación de credenciales.
Cabe señalar que el éxito de los ataques de fuerza bruta para predecir las contraseñas maestras es inversamente proporcional a su fuerza, lo que significa que cuanto más fácil sea adivinar la contraseña, menor será el número de intentos necesarios para descifrarla.
"Si reutilizas tu contraseña maestra y esa contraseña se ha visto comprometida alguna vez, un actor de amenazas puede utilizar volcados de credenciales comprometidas que ya están disponibles en Internet para intentar acceder a tu cuenta", advirtió LastPass.
El hecho de que las URL de los sitios web estén en texto plano significa que un descifrado satisfactorio de la contraseña maestra podría dar a los atacantes una idea de los sitios web en los que un usuario concreto tiene cuentas, lo que les permitiría organizar otros ataques de phishing o de robo de credenciales.
Además, la empresa dijo que notificó a un pequeño subconjunto de sus clientes empresariales -que asciende a menos del 3%- para que tomaran ciertas medidas no especificadas en función de la configuración de sus cuentas.
El suceso se produce días después de que Okta reconociera que actores de amenazas obtuvieron acceso no autorizado a sus repositorios de Workforce Identity Cloud (WIC) alojados en GitHub y copiaron el código fuente.
Fuente: https://thehackernews.com/2022/12/lastpass-admits-to-severe-data-breach.html