Home Sociedad LastPass admite una grave filtración de datos y el robo de bóvedas...

LastPass admite una grave filtración de datos y el robo de bóvedas de contraseñas cifradas

La brecha de seguridad de LastPass de agosto de 2022 puede haber sido más grave de lo que la empresa había revelado anteriormente.

El popular servicio de gestión de contraseñas ha revelado este jueves que agentes malintencionados han obtenido una gran cantidad de información personal perteneciente a sus clientes, entre la que se incluyen sus contraseñas encriptadas, utilizando los datos obtenidos en el ataque anterior.

También se robó “información básica de la cuenta del cliente y metadatos relacionados, incluyendo nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedían al servicio LastPass”, dijo la compañía.

En el incidente de agosto de 2022, que sigue siendo objeto de una investigación en curso, los delincuentes accedieron al código fuente y a información técnica patentada de su entorno de desarrollo a través de una única cuenta de empleado comprometida.

LastPass dijo que esto permitió al atacante no identificado obtener credenciales y claves que posteriormente se aprovecharon para extraer información de una copia de seguridad almacenada en un servicio de almacenamiento basado en la nube, que enfatizó que está físicamente separado de su entorno de producción.

Además, el adversario habría copiado los datos de la bóveda del cliente del servicio de almacenamiento cifrado. Se almacenan en un “formato binario patentado” que contiene datos sin cifrar, como URL de sitios web, y campos totalmente cifrados, como nombres de usuario y contraseñas de sitios web, notas seguras y datos de formularios.

Estos campos, explicó la empresa, están protegidos mediante cifrado AES de 256 bits y sólo pueden descifrarse con una clave derivada de la contraseña maestra de los usuarios en sus dispositivos.

LastPass confirmó que el fallo de seguridad no implicaba el acceso a datos no cifrados de tarjetas de crédito, ya que esta información no se archivaba en el contenedor de almacenamiento en la nube.

La empresa no reveló la fecha de la copia de seguridad, pero advirtió de que el autor de la amenaza “puede intentar utilizar la fuerza bruta para adivinar su contraseña maestra y descifrar las copias de los datos de la bóveda que se llevaron”, así como atacar a los clientes con ingeniería social y ataques de relleno de credenciales.

Cabe señalar en este punto que el éxito de los ataques de fuerza bruta para predecir las contraseñas maestras es inversamente proporcional a su fuerza, lo que significa que cuanto más fácil sea adivinar la contraseña, menor será el número de intentos necesarios para descifrarla.