LastPass confirma que los piratas informáticos robaron bóvedas de contraseñas cifradas... hace cuatro meses

Hacer un seguimiento de todas nuestras contraseñas es algo difícil, especialmente porque es una mala práctica reutilizarlas en varias cuentas, también deben ser seguras y difíciles de adivinar. Nuestra mejor solución es usar un administrador de contraseñas, de esta manera podemos obtener contraseñas seguras y difíciles de adivinar y evitamos la molestia de memorizarlas todas (que por cierto no puedo), todas están en un solo lugar, pero ¿Qué sucede si su administrador de contraseñas tiene una brecha de seguridad y su bóveda de contraseñas se filtra? Eso sucedió hace cuatro meses, y solo te lo están diciendo ahora.

Un resumen rápido de lo que estaba sucediendo

25 de agosto de 2022

LastPass publicó una nota oficial de que habían notado una actividad inusual dos semanas antes y comenzaron a investigarla, pero no hubo evidencia de acceso a ningún dato del cliente. Aparentemente, el atacante solo tuvo acceso a una parte del código fuente a través del entorno de desarrollo.

15 de septiembre de 2022

Habían completado su investigación y análisis forense con el equipo de Mandiant , después de terminar la investigación concluyeron que la actividad de los atacantes se limitó a un período de tiempo de 4 días en agosto y que el equipo se apresuró a contener el incidente.

También según su investigación, la brecha ocurrió en el entorno de desarrollo, que técnicamente no tiene acceso a los datos de los clientes ni a las bóvedas de contraseñas.

Incluso teniendo acceso a las bóvedas de contraseñas encriptadas de los usuarios, no se puede hacer nada sin la contraseña maestra del usuario, que es parte de su modelo de seguridad de conocimiento cero (sin embargo, tenga en cuenta la última oración)

30 de noviembre de 2022

Como parte de su compromiso de transparencia, agregaron una actualización de la situación de incumplimiento, afirmando que notaron una actividad inusual en un servicio de almacenamiento en la nube de terceros, que comparten LastPass y GoTo, y nuevamente, iniciaron una investigación con Mandiant. equipo.

Esta vez afirmaron que la brecha que ocurrió en agosto en realidad le dio al atacante acceso a "ciertos elementos" de la información de los clientes, pero que todas las contraseñas están seguras, nuevamente, debido a su modelo de seguridad de conocimiento cero.

¿Qué está pasando ahora?

El día 22 de diciembre de 2022, LastPass salió a la luz pública para informar que, en la brecha de seguridad de agosto, el atacante pudo obtener información de identificación personal, incluido el nombre de la empresa, el nombre del usuario final, correos electrónicos, direcciones de facturación, números de teléfono y direcciones IP, así como, espéralo, Bóvedas de Contraseñas . 🤯

Según LastPass, su bóveda de contraseñas es totalmente segura e indescifrable, considerando que ha seguido todas sus pautas para asegurar la creación de contraseñas maestras.

Por el momento, no hay evidencia de que se hayan filtrado datos de tarjetas de crédito sin cifrar, lo que en este momento me preocupa, ya que tardaron 4 meses en salir a la luz pública diciendo que la PII y las bóvedas de contraseñas están en manos de los atacantes.

Puedes consultar el Aviso de Incidencia completo aquí

¿Qué tan seguras son mis contraseñas?

Si ha seguido toda la guía de LastPass para la creación de contraseñas, probablemente esté a salvo, los atacantes comenzarán a usar diccionarios de miles de millones de contraseñas ya filtradas (el diccionario RockYou2021 tiene increíbles 8.400 millones de contraseñas) para acelerar el proceso.

Los atacantes también pueden intentar forzar su contraseña por fuerza bruta, pero si cree que les llevará mucho tiempo, piénselo de nuevo. A medida que la tecnología evoluciona, también disminuye el tiempo para descifrar contraseñas, el salto entre un RTX 3090 y un RTX 4090 es casi el doble para casi todos los algoritmos.

Quizás se pregunte cuánto tiempo le tomaría a alguien descifrar una contraseña compleja, alguien realmente probó eso con el hardware más reciente, usó una plataforma RTX 4090 de 8 tarjetas y pudo descifrar una contraseña de 8 dígitos altamente compleja en 48 minutos usando Hashcat, según este artículo de BitDefender .

Por lo tanto, para estar más seguro de que sus cuentas están seguras, se recomienda encarecidamente que cambie todas las contraseñas de las cuentas que ha almacenado en LastPass, incluida su contraseña maestra.