LastPass revela cómo fue pirateado, y no son buenas noticias
El año pasado fue particularmente malo para el administrador de contraseñas LastPass, ya que una serie de incidentes de piratería revelaron algunas debilidades graves en su seguridad supuestamente sólida. Ahora, sabemos exactamente cómo ocurrieron esos ataques, y los hechos son bastante impresionantes.
Todo comenzó en agosto de 2022, cuando LastPass reveló que un actor de amenazas había robado el código fuente de la aplicación . En un segundo ataque posterior, el pirata informático combinó estos datos con información encontrada en una violación de datos separada y luego explotó una debilidad en una aplicación de acceso remoto utilizada por los empleados de LastPass. Eso les permitió instalar un registrador de teclas en la computadora de un ingeniero senior de la empresa.
Una vez que el registrador de teclas estaba en su lugar, los piratas informáticos podían obtener la contraseña maestra de LastPass del ingeniero tal como se ingresaba, lo que les otorgaba acceso a la bóveda del empleado y a todos los secretos que contenía.
Usaron ese acceso para exportar el contenido de la bóveda. Entre los datos se encontraban las claves de descifrado necesarias para descifrar las copias de seguridad de los clientes almacenadas en el sistema de almacenamiento en la nube de LastPass.
Eso es importante porque LastPass mantuvo copias de seguridad de producción y copias de seguridad de bases de datos críticas en la nube. También se robó una gran cantidad de datos confidenciales de clientes, aunque parece que los piratas informáticos no pudieron descifrarlos. Una página de soporte de LastPass detalla exactamente lo que fue robado .
Transparencia cuestionable
Afortunadamente para los usuarios de LastPass, parece que los datos más confidenciales de los clientes, como (la mayoría de) las direcciones de correo electrónico y las contraseñas, se cifraron con un método de conocimiento cero. Eso significa que fueron encriptados con una clave derivada de la contraseña maestra de cada usuario y desconocida para LastPass. Cuando los piratas informáticos robaron datos de LastPass, no pudieron obtener estas claves de descifrado porque LastPass no las almacenó en ningún lugar.
Dicho esto, los actores de amenazas tomaron muchos datos importantes. Eso incluyó copias de seguridad de la base de datos de autenticación multifactor de LastPass, secretos de API, metadatos de clientes, datos de configuración y más. Además de eso, parece que también se violaron numerosos productos además de LastPass.
En una página de soporte , LastPass dijo que la forma en que se llevó a cabo el segundo ataque, mediante el uso de detalles de inicio de sesión de empleados genuinos, dificultó su detección. Al final, la empresa se dio cuenta de que algo andaba mal cuando su sistema de alertas de AWS GuardDuty le advirtió que alguien estaba tratando de usar sus funciones de administración de acceso e identidad en la nube para realizar actividades no autorizadas.
LastPass ha recibido muchas críticas por su manejo de los ataques en los últimos meses, y es poco probable que esa desaprobación desaparezca a la luz de las últimas revelaciones. De hecho, una empresa de seguridad llegó a decir que LastPass no era una aplicación confiable y que los usuarios cambiaban a diferentes administradores de contraseñas .
En este momento, LastPass aparentemente está tratando de ocultar sus páginas de soporte de ataques de los motores de búsqueda agregando el código “<meta name=”robots” content=”noindex”>” a las páginas. Eso solo hará que sea más difícil para los usuarios (y el mundo en general) descubrir qué sucedió y difícilmente parece hacerse con un espíritu de transparencia y responsabilidad. Tampoco se ha publicado nada en el blog de la empresa.
Si es cliente de LastPass, podría ser mejor buscar una aplicación alternativa. Afortunadamente, existen muchos otros excelentes administradores de contraseñas que pueden proteger de manera confiable su información importante.