Hace unas semanas, LastPass publicó un comunicado en su blog en el que informaba de que habíasufrido una vulneración deseguridad. En aquel momento, Karim Toubba, el director ejecutivo de LastPass, no entró en detalles y solo dijo que se había producido un incidente de seguridad con un servicio de almacenamiento en la nube de terceros que utiliza LastPass. Ahora, la empresa ha dado un desglose detallado de lo ocurrido, y no es nada bueno.
Toubba volvió a recurrir al blog de la empresa para compartir lo que había descubierto en relación con el incidente. Según la publicación, en este ataque no se vieron afectados los datos de los clientes, pero sí se robaron "el código fuente y la información técnica". Lamentablemente, con esta información, el atacante atacó a un empleado y obtuvo credenciales y claves que se utilizaron para descifrar y acceder a la información del servicio de almacenamiento en la nube.
Desde allí, el atacante pudo acceder a información de cuentas como "nombres de usuario final, direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP desde las que los clientes accedían al servicio LastPass". Además, obtuvo datos de la bóveda de clientes, que contenían "nombres de usuario y contraseñas de sitios web, notas seguras y datos rellenados en formularios" cifrados.
Quizás te preguntes: ¿qué significa todo esto exactamente?
Bueno, hay buenas y malas noticias. En cuanto a las buenas noticias, los datos recopilados estaban cifrados y se requiere la contraseña maestra del usuario para descifrarlos. La mala noticia es que si el atacante tiene tiempo, puede probar tantas contraseñas como sea necesario para descifrar los datos. LastPass reconoce que esto es una posibilidad, pero afirma que sería "extremadamente difícil", siempre y cuando la contraseña en sí seacomplicada.
LastPass también advierte que los ataques de phishing podrían volverse más comunes, en un intento de tomar a los clientes desprevenidos y extraer contraseñas maestras. En cuanto a lo que se puede hacer ahora, se trata simplemente de mantenerse alerta y no caer presa de intentos de phishing. Si parece fuera de lo común o sospechoso, investigue. LastPass ha requerido contraseñas de 12 caracteres como mínimo durante bastante tiempo. Pero violaciones como esta pueden ocurrir y cuando lo hacen, realmente ponen las cosas en perspectiva.
Sin embargo, la empresa intenta ofrecer cierta seguridad, ya que afirma que se necesitarían millones de años para intentar adivinar una contraseña compleja. Por supuesto, esto no debería tranquilizarte, ya que hay alguien ahí fuera con tus datos cifrados. LastPass ha realizado cambios en su infraestructura para evitar infracciones en el futuro y se ha puesto en contacto con los clientes comerciales de alto riesgo para darles instrucciones.
Fuente:LastPass