El CEO de LastPass ha confirmado en un comunicado enviado a sus usuarios que el servicio ha sido hackeado. Según cuenta, hace dos semanas detectaron actividad extraña en partes del entorno de desarrollo.
La parte buen es que dice que, tras realizarse una investigación, no han encontrado pruebas que indiquen que los atacantes han accedido a datos de usuarios o a contraseñas cifradas. En una parte dedicada a preguntas y respuestas, la compañía asegura que no almacenan la Contraseña Maestra, y que por tanto no se han visto afectadas en la brecha.
Las empresas de los gestores de contraseñas sufren el mismo problema que cualquier usuario
Por mucha seguridad que exista, hay numerosos incidentes como este de LastPass que tienen que ver con ingeniería social y descuidos. En este caso, desde LastPass mencionan que el acceso se produjo porque una única cuenta de desarrollador había sido comprometida, aunque no han mencionado si en el ataque para conseguirla detectaron phishing u otras técnicas.
Pese a que los datos de los usuarios no se han visto afectados de acuerdo al comunicado, los atacantes sí se hicieron con partes del código fuente y alguna información técnica de LastPass, aunque tampoco detallan cómo podría afectar a la actividad de la empresa. Mientras la investigación continúa su curso, están llevando a cabo nuevas medidas y han logrado un "estado de contención". Por el momento dicen no haber encontrado más indicios de actividad sospechosa.
En cuanto a los usuarios y administradores, desde LastPass recomiendan no hacer nada más allá que seguir las prácticas recomendadas desde siempre. Pero al no haberse sustraído información de los usuarios ni contraseñas, indican que no es necesario ni un paso extra.
Además, reiteran que con su modelo de conocimiento cero, solo el cliente tiene datos para descifrar datos de la bóveda. En 2015, LastPass ya fue hackeado, y aquella vez sí pudieron obtener el hash de autenticación.
Ver 37 comentarios