La empresa matriz del servicio de administrador de contraseñas, LastPass, que a fines de 2022 reveló que las bóvedas de contraseñas de todo su base de clientes estaba ahora en manos de delincuentes, ha anunciado que las claves de cifrado para algunos de sus otros productos han sido comprometido también.
¿Qué significa esto para sus usuarios?
¿Qué fue la filtración de datos de LastPass de 2022?
LastPass y sus clientes no tuvieron el mejor año en 2022. En agosto, la compañía anunció en un discreto entrada en el blog que los delincuentes habían accedido al entorno de desarrollo, el código fuente y la información técnica de LastPass. El lenguaje fue tranquilizador y se refirió a la "actividad inusual" y al incidente como "un acontecimiento". Una sección de preguntas frecuentes aseguró a los clientes que sus bóvedas, contraseñas y contraseñas maestras estaban seguras, al tiempo que afirmaba que "no recomendamos ninguna acción en nombre de nuestros usuarios o administradores".
Un mes más tarde, después de una investigación en colaboración con Mandiant, se actualizó la publicación de blog original para tranquilizar aún más a los usuarios de LastPass de que no había fue, "no hay evidencia de que este incidente involucre ningún acceso a los datos del cliente o bóvedas de contraseñas encriptadas", y además patrocinaba a los usuarios con el reconocimiento de que "los incidentes de seguridad de cualquier tipo son inquietantes, pero [queremos] asegurarle que sus datos personales y contraseñas están seguros en nuestro cuidado."
Sin embargo, a fines de noviembre de 2022, el blog se actualizó una vez más, en una admisión de que los intrusos habían logrado llevarse "ciertos elementos de la información de nuestros clientes".
Finalmente, en una actualización de diciembre de 2022, LastPass reconoció al hecho de que los delincuentes habían logrado exfiltrar las bóvedas de datos personales de millones de clientes, que contenían URL y nombres de sitios web sin cifrar, así como nombres de usuario y contraseñas encriptados, junto con datos de respaldo que incluyen nombres de clientes, direcciones y números de teléfono, direcciones de correo electrónico, direcciones IP y tarjetas de crédito parciales números.
Una vez más, LastPass trató de contener el daño a la reputación, afirmando que "tomaría millones de años adivinar su contraseña maestra utilizando la tecnología de descifrado de contraseñas generalmente disponible".
¿Peor por venir para los usuarios de LastPass?
LastPass es un empresa independiente, propiedad de GoTo (un proveedor de SaaS, anteriormente conocido como LogMeIn), y aunque la violación de LastPass ha obtenido la mayor parte atención, la penetración inicial fue de un servicio de almacenamiento en la nube de terceros, que es utilizado por GoTo y Ultimo pase. Como LastPass se vio comprometido, también lo fue GoTo. Los actores de amenazas lograron filtrar las copias de seguridad cifradas de ambas compañías.
El 23 de enero de 2023, GoTo publicó un comunicado en su blog afirmando que tiene "evidencia de que un actor de amenazas extrajo una clave de cifrado para una parte de las copias de seguridad cifradas", y además que Configuración de autenticación multifactor (MFA) de un pequeño subconjunto de sus clientes se vieron afectados.
Lo que esto significa es que los delincuentes pueden descifrar fácilmente sus bienes robados sin necesidad de esperar millones de años para hacerlo.
No está claro si las claves de cifrado de la bóveda de LastPass también se han exfiltrado.
Informes de bóvedas de LastPass comprometidas
Casi tan pronto como se publicó la actualización de diciembre, los lectores se pusieron en contacto con MUO alegando que las contraseñas únicas almacenados solo en las bóvedas de LastPass estaban siendo utilizados por delincuentes para acceder a cuentas en línea, lo que resultó en el intercambio de SIM ataques
En Twitter, los usuarios informaron que las billeteras criptográficas estaban siendo atacadas y drenadas de su contenido; al parecer, esas semillas se almacenaron únicamente en las bóvedas de LastPass.
Hasta el momento, LastPass no ha abordado estos rumores, ni las revelaciones de su empresa matriz.
GoTo al menos ha comenzado a contactar a los usuarios afectados y todas las contraseñas se han restablecido automáticamente.
Cambie sus contraseñas para todo
Los servicios de administración de contraseñas existen para mantener sus contraseñas seguras e indescifrables. Si los delincuentes tienen las llaves de esa bóveda, cualquiera puede usar sus contraseñas como desee.
Lo primero que debe hacer es cambiar sus contraseñas para todos los servicios a los que haya accedido en línea. Siempre que sea posible, también debe usar un nombre de usuario y una dirección de correo electrónico únicos.
Nunca es una buena idea confiar tus secretos más profundos para que alguien más los proteja. BitWarden es un administrador de contraseñas que puede alojar en su propio hardware y que generará nombres de usuario, alias de correo electrónico y contraseñas para cada sitio que visite. Como lo ejecuta en su propia máquina, no tiene que dejar sus contraseñas al dudoso cuidado de otra compañía.
