LastPass pirateado, datos de clientes afectados

Después de la brecha de seguridad de LastPass en agosto pasado, el administrador de contraseñas de LastPass todavía se enfrenta a una situación compleja, por decir lo menos. Pero la compañía ha decidido jugar la carta de la transparencia total. El 1 de diciembre, la empresa advirtió a sus usuarios que un "incidente de seguridad" podría haber expuesto datos personales. Sin embargo, la empresa había asegurado a los usuarios que las contraseñas permanecen encriptadas y seguras. "Hemos determinado que una parte no autorizada, utilizando información obtenida del incidente de agosto de 2022, pudo acceder a ciertos elementos de la información de nuestros clientes", escribió Karim Toubba, director ejecutivo de LastPass. El 22 de diciembre, el caso dio otro giro. De hecho, la compañía publicó una publicación de blog con información adicional sobre la fuga de información del cliente, afirmando que se obtuvieron datos de la cuenta, como direcciones de facturación, direcciones de correo electrónico, nombres de usuarios finales, números de teléfono y direcciones IP.

También se divulgaron los datos de la bóveda del cliente, que incluyen datos no cifrados, como URL de sitios web y datos cifrados, incluidos nombres de usuario y contraseñas de sitios web, notas seguras y datos de formularios. La compañía detalla todo lo que ha sucedido hasta ahora y qué pasos planea tomar a continuación en su publicación de blog. Si es cliente de LastPass, la mejor protección es usar una contraseña segura y aleatoria que nunca se haya usado en ningún otro lugar. Se puede considerar la otra opción, que es cambiar de proveedor: Dashlane, Keeper, LogMeOnce, Bitwarden y muchas otras son alternativas confiables.

Un año difícil para LastPass

La noticia puede parecer preocupante, ya que muchos expertos recomiendan el servicio por su longevidad y experiencia. Lo mínimo que podemos decir es que el año no ha sido fácil para la compañía. En agosto pasado, el administrador de contraseñas sufrió una brecha de seguridad, durante la cual se infiltró el entorno de desarrollo de la empresa. En ese momento, LastPass dijo que parte de su código fuente e información técnica patentada fue robada, pero que los clientes no se vieron afectados. A principios de diciembre, la empresa fue víctima de un segundo ataque, esta vez afectando a los clientes. Como se señaló en su blog, LastPass detectó recientemente una actividad inusual dentro de un servicio de almacenamiento en la nube de un tercero. Una investigación en ese momento reveló que la violación provino del conocimiento obtenido del incidente del 20 de agosto de 22, y que se accedió a "cierta información del cliente".

En años anteriores, LastPass también sufrió varios ataques a su servicio con incidentes notables, incluido el acceso no autorizado de 2015 a direcciones de correo electrónico de cuentas de usuarios, recordatorios de contraseñas y hashes de autenticación. Otras brechas de seguridad incluyen la vulnerabilidad de la extensión del navegador de 2017, que permitió que los sitios web robaran contraseñas. En 2019, el mismo investigador de seguridad que descubrió el problema de 2017 también descubrió otra vulnerabilidad de extensión del navegador que permitía revelar la última contraseña utilizada. La empresa incluso ha cometido algunos errores de comunicación, como correos electrónicos de alerta de seguridad enviados a clientes que no se vieron afectados por un ataque de Credential Stuffing.