LastPass es un servicio de gestión de contraseñas «freemiun» basado en almacenamiento encriptado en la «nube» y disponible en extensiones de diversos navegadores como: Chrome, Firefox, Safari, Opera, etc.
Mediante un comunicado oficial en su blog LastPass reveló haber sufrido un ataque de seguridad el cual se hizo efectivo utilizando información obtenida en un incidente anterior que fue dado en agosto de 2022.
Según aseguró la compañía la información sensible de los clientes no fue vulnerada, sin embargo se empezó una investigación exhaustiva sobre la incidencia informada el 15 de Septiembre de 2022, y hoy, 3 meses después de lo sucedido la compañía mediante su CEO nuevamente publicó una actualización de la noticia, citando:
«Estamos trabajando diligentemente para comprender el alcance del incidente e identificar a qué información específica se ha accedido. Mientras tanto, podemos confirmar que los productos y servicios de LastPass siguen siendo completamente funcionales.»
¿Qué Sucedió?
A continuación una breve explicación en la línea de tiempo
25 de Agosto de 2022
Se detectó una actividad inusual en partes del entorno de desarrollo de LastPass, parte no autorizada accedió mediante una cuenta de desarrollador a parte del código fuente y cierta información técnica.
15 de Septiembre de 2022
Se inició un proceso de investigación y análisis forense en asociación con Mandiant. Se detectó así actividades de atacantes y se contuvo el incidente, se confirmó por parte de la compañía que la información de sus clientes se mantenía segura. Además se implementó nuevos controles de seguridad mejorados que incluyen controles de monitoreo en puntos finales adicionales.
30 de Noviembre de 2022
Se detecta nueva actividad inusual dentro del servicio de almacenamiento en la nube de terceros, se inicia nuevamente una investigación de la mano con Mandiant y se da alerta a las autoridades competentes. Entidades no autorizadas lograron obtener el acceso a ciertos elementos de la información de los clientes. Se asegura sin embargo que la información sensible sigue estando protegida gracias a «Zero Knowledge de LastPass». La compañía seguirá trabajando fuertemente en la seguridad y mantendrá informados a sus usuarios.
Recomendaciones
Si es un usuario de LastPass de momento no se deben tomar acciones ofensivas.
En la web de Sophos mencionando sobre esta vulnerabilidad nos indica que: «Se puede realizar un cambio de contraseña y de gestor pero no es estrictamente necesario, ya que de forma oficial LastPass aseguró que la
información personal de los usuarios no está comprometida, también han tomado las medidas necesarias para mitigar el problema. Se debe recordar que ninguna plataforma es 100% segura, pero si es importante que la empresa reconozca sus problemas y trabaje para mejorarlos»
La compañía sin embargo sugiere hacer una instalación y gestión del servicio siguiendo las instrucciones oficiales dadas en el siguiente enlace:
Para mayor información:
- https://blog.lastpass.com/2022/11/notice-of-recent-security-incident/
- https://www.lastpass.com/es/security/zero-knowledge-security
- https://blog.lastpass.com/2022/01/how-to-set-up-your-new-lastpass-account/
- https://thehackernews.com/2022/12/lastpass-suffers-another-security.html
- https://thehackernews.com/2022/08/hackers-breach-lastpass-developer.html
- https://thehackernews.com/2022/09/hackers-had-access-to-lastpasss.html
- https://news.sophos.com/es-es/2022/09/01/violacion-del-codigo-fuente-de-lastpass-seguimos-recomendando-los-gestores-de-contrasenas/