16 jun. 2015

Lastpass hackeado... Cambia tu contraseña maestra!

Según ha anunciado en su blog, LastPass ha sido hackeada y por lo tanto es hora cambiar la contraseña maestra. La empresa, una de las líderes global en gestión de contraseñas, informó que ha detectado una intrusión en sus servidores.

Si bien informa que los datos del usuario y las contraseñas se cifran, los intrusos lograron obtener las direcciones de correo electrónico de las cuentas de LastPass, el recordatorio de contraseña y los hash de autenticación. Esto último es lo que se utiliza para indicar a LastPass que se tiene permiso para acceder a una cuenta determinada.
Según LastPass, los hash de autenticación están suficientemente cifrados como para prevenir que cualquiera pueda utilizarlos para acceder a una cuenta. Según informan, la empresa utiliza el algortimo PBKDF2-SHA256 con Salt y 100.000 rondas en el servidor y en el cliente.
Desde LastPass estamos seguros de que las medidas de cifrado son suficientes para proteger a la gran mayoría de usuarios.
Este fortalecimiento adicional hace que sea difícil de atacar a los hashes robados e informan que están tomando medidas adicionales para asegurar que los datos permanezcan seguros: están requiriendo que todos los usuarios que inician sesión desde una nueva dirección IP del dispositivo utilicen alguna de las medidas propuestas, o bien verifiquen primero su cuenta por correo electrónico, a menos que se haya habilitado la autenticación de múltiples factores.

Sin embargo, la compañía está impulsando a todos los usuarios a actualizar su contraseña maestra utilizada para iniciar sesión a la cuenta de LastPass. Por último, si se ha activado la autenticación de dos factores, debe seguirse este procedimiento.

Tal y como está, no parece que este ataque resultara en pérdidas de datos importantes pero sin duda dará lugar a otros ataques como phishing y spam por lo que sigue siendo importante adoptar medidas necesarias para proteger la cuenta tan pronto como sea posible.

Desde Segu-Info, aconsejamos a todos los usuarios de la plataforma LastPass cambiar inmediatamente todas las contraseñas guardadas en la plataforma, independientemente si las mismas fueron o no comprometidas. Es destacable y elogiable la transparencia con la que LastPass informo a todos sus usuarios del incidente de seguridad y el esfuerzo en idear medidas mitigatorias permitiendo el acceso a la cuenta solo desde un IP registrado o un dispositivo de confianza.

Fuente: LifeHacker

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!