Lo que necesitas saber
- LastPass afirma que las bóvedas de contraseñas de los clientes terminaron en manos de ciberdelincuentes.
- Los piratas informáticos utilizaron información obtenida de un incidente anterior que LastPass reveló en agosto pasado.
- Las contraseñas maestras permanecen seguras, y LastPass dice que los piratas informáticos tardarán millones de años en adivinarlas.
La brecha de seguridad revelada por LastPass en agosto es peor de lo que se pensaba. LastPass ha confirmado que los ciberdelincuentes utilizaron información obtenida del incidente anterior para obtener bóvedas de contraseñas cifradas y otros datos de clientes.
De acuerdo a última actualización (se abre en una nueva pestaña) desde el administrador de contraseñas, los piratas informáticos pudieron “copiar una copia de seguridad de los datos de la bóveda del cliente desde el contenedor de almacenamiento cifrado”, que contenía datos no cifrados, como direcciones URL, y campos de datos cifrados, como nombres de usuario y contraseñas de sitios web. , notas seguras y datos rellenados en formulario.
LastPass dijo en agosto que si bien los piratas informáticos obtuvieron acceso a partes de su entorno de desarrollo, no se comprometió ningún dato del cliente. Unos meses después, la empresa reveló que “ciertos elementos” de los datos de los clientes se vieron afectados por el incidente de seguridad.
Los actores de amenazas obtuvieron acceso a su código fuente y otros datos técnicos y utilizaron esta información para comprometer una cuenta de desarrollador de LastPass. Los piratas informáticos finalmente robaron copias de seguridad de las bóvedas de contraseñas de los usuarios después del incidente.
Afortunadamente, los ciberdelincuentes no podrán desbloquear bóvedas de contraseñas encriptadas sin contraseñas maestras, que solo conocen los propietarios de las cuentas. La empresa señala que las contraseñas maestras están protegidas por su arquitectura Zero Knowledge, lo que significa que ni siquiera LastPass lo sabe.
Sin embargo, LastPass advirtió a los clientes que los piratas informáticos “pueden intentar usar la fuerza bruta para adivinar su contraseña maestra y descifrar las copias de los datos de la bóveda que han tomado”. Es probable que esto se deba a que las bóvedas de contraseñas ahora están en manos de los actores de amenazas.
Además de las bóvedas de contraseñas, los piratas informáticos obtuvieron acceso a un tesoro de datos, incluidos nombres, direcciones de correo electrónico, números de teléfono y cierta información de facturación. Los propietarios de cuentas de LastPass afectados también son potencialmente vulnerables a “phishing, relleno de credenciales u otros ataques de fuerza bruta contra cuentas en línea” vinculadas a su bóveda de LastPass.
Esta brecha de seguridad sirve como un recordatorio de que incluso los mejores administradores de contraseñas son vulnerables a los ataques. Siempre es una buena idea nunca usar la misma contraseña para todas sus cuentas en línea. En este caso, LastPass recomienda no utilizar su contraseña maestra en otros sitios web. Mejor aún, recomendamos reemplazar su contraseña maestra actual de LastPass con una combinación única y proteger su cuenta con autenticación de dos factores.