LastPass compartió más detalles relacionados con el incidente de seguridad del mes pasado, revelando que los atacantes obtuvieron acceso a sus sistemas durante un periodo de cuatro días en agosto de 2022.
«No hay evidencias de ninguna actividad del atacante más allá del tiempo especificado», dijo el CEO de LastPass, Karim Toubba, en una actualización compartida el 15 de septiembre, y añadió «no hay pruebas de que en este incidente se hayan obtenido datos de acceso de los clientes o algunas de sus contraseñas cifradas».
LastPass reveló que había sido afectada por un ataque a sus entornos de desarrollo a finales de agosto, dando lugar al robo de parte del código fuente e información técnica, aunque no se ofrecieron más detalles.
La compañía que realizó la investigación sobre el hackeo en asociación con la empresa de respuesta a incidentes Mandiant, dijo que el acceso se logró utilizando un endpoint comprometido de un desarrollador.
Aunque el método exacto del inicio del ataque todavía no es concluyente, LastPass señaló que el atacante abusó del acceso persistente para hacerse pasar por el desarrollador después de que la víctima se hubiera identificado mediante la autenticación multifactor.
La compañía reiteró que a pesar del acceso no autorizado, el atacante no consiguió obtener ningún dato sensible de los clientes debido al diseño del sistema y a los controles de confianza cero establecidos para evitar este tipo de incidentes.
Esto incluye la completa separación de los entornos de desarrollo y producción y su propia incapacidad para acceder a las contraseñas de los clientes sin la contraseña maestra de los usuarios.
«Sin la contraseña maestra, no es posible que nadie más que el propietario de las contraseñas descifre los datos de la misma», señaló Toubba.
Además, también dijo que realizó comprobaciones de la integridad del código fuente para buscar cualquier signo de envenenamiento y de que los desarrolladores no posean los permisos necesarios para pasar el código fuente directamente del entorno de desarrollo a producción.
Para terminar, pero no menos importante, LastPass señaló que ha contratado los servicios de una empresa «líder» en ciberseguridad para mejorar sus prácticas de seguridad desplegando protecciones adicionales en los endpoint para detectar y prevenir mejor los ataques dirigidos a sus sistemas.
Más información:
Nunca me fiaría de este programa para almacenar mis contraseñas, es de código cerrado y en Wikipedia dicen que tiene rastreadores de datos para propósitos de marketing y que ya sufrió otros muchos hackeos como uno de 2011 en el que la empresa creadora solicitó a todos los usuarios que cambiaran sus contraseñas maestras.