LastPass confirma nuevo hackeo y que le han robado las contraseñas de sus clientes
El gestor de contraseñas LastPass no está pasando por su mejor momento. En 2022 ha sufrido dos grandes ataques a sus servidores, uno en el mes de agosto y otro hace apenas unas semanas. Esto sin duda es un gran problema, ya que como clientes confiamos en este tipo de servicios para poder almacenar nuestras contraseñas de "manera segura", pero después vemos como uno de los más grandes termina hackeado.
A priori, en ambos ataques se informó que las contraseñas estaban completamente a salvo gracias a las barreras de seguridad que se integran en sus sistemas. Pero tras investigar en profundidad, LastPass ha confirmado a través de una actualización en la entrada de su blog que se sustrajo una copia de seguridad de una de sus bóvedas en el ataque. Esto hace que salten todas las alarmas, pues en estas bóvedas se encuentran las contraseñas de los clientes.
Las bóvedas están cifradas, pero la fuerza bruta puede ser usada
En esta entrada se informa de que la caché de las bóvedas se almacena en un formato binario patentado que tiene datos de la bóveda tanto cifrados como sin cifrar. Estos datos fueron robados gracias al acceso a una de las claves de los empleados de la empresa, lo que daba alas a los ciberdelincuentes a acceder a la información de los servidores sin demasiada complicación.
En un primer momento, se afirmó que todas las contraseñas de las bóvedas están a buen recaudo, ya que solo se pueden desbloquear con las contraseñas maestras que únicamente tienen en su poder los clientes. Pero en este caso, la propia empresa también ha afirmado que a través de la fuerza bruta se puede llegar a tener acceso a las bóvedas, aunque cueste mucho tiempo. Esto hace que el sistema de encriptación que se usa esté cuestionado.
Hasta la fecha, hemos determinado que una vez que se obtuvieron la clave de acceso al almacenamiento en la nube y las claves de descifrado del contenedor de almacenamiento dual, el atacante copió información del backup que contenía información básica de la cuenta del cliente y metadatos relacionados, incluidos los nombres de las empresas, los nombres de los usuarios finales, las direcciones de facturación, direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedían al servicio de LastPass.
El actor de amenazas también pudo copiar los datos de la bóveda del cliente desde el contenedor de almacenamiento cifrado que se almacena en un formato propio que contiene datos sin cifrar, como las URL del sitio web, así como campos confidenciales completamente encriptados, como los nombres de usuario del sitio web. y contraseñas, notas seguras y datos rellenados en formularios. Estos campos cifrados permanecen protegidos con cifrado AES de 256 bits y solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario utilizando nuestra arquitectura Zero Knowledge.
No han dado datos precisos de que copia de seguridad han robado, ya que es posible que sea algo antigua y las contraseñas almacenadas no se correspondan con las actuales. Ante este caso hay que analizar la contraseña maestra de cada usuario y determinar si es segura o no. En el caso de que sea débil, y por ende se puede sacar fácilmente por fuerza bruta, se debe cambiar cuanto antes por una más compleja. Y si ya de por sí la tenías muy débil del todo, será vital cambiar todas las contraseñas de los servicios que estén almacenados en esta.
Los datos que si se filtraron, y por los que no se puede hacer nada, son el nombre, direcciones de correo electrónico, teléfono y cierta información de facturación. El dato positivo que han ofrecido es que si la bóveda cuenta con el sistema de autenticación de doble factor activado hará mucho más difícil el acceso por parte del atacante, ya que hará falta el código que se envía al dispositivo móvil.
Fuente: Genbeta
Ya,esta, cierren y a otra cosa. Dos veces ya. Creo que esto es el mejor ejemplo de porqué no hay que utilizar gestores de claves. Todos los medios electronicos son hackeables, incluyo el almacenamiento en la nube.. Mas que imagenes o documentos sin importancia no se deben confiar.Los telefonos tampco son seguros, ni las computadoras Lamentablemente es asi.
ResponderBorrarDifiero en tu opinion, si bien yo tampoco confio en este tipo de servicios en la nube, un gestor de contraseñas es miles de veces mejor que las alternativas (reutilizar passwords, usar passwords recordables, anotarlas en un papel a la vista de todo el mundo).
BorrarLos sistemas de identificacion biometrica, si bien parecen ser el futuro, todavia no han sido debidamente testeados en mi opinion, y tampoco son tan utilizados como para reemplazar las contaseñas.
Asi que por ahora, creo que lo mejor es un gestor de contraseñas (preferentemente local si no necesitas acceso compartido) y proteccion multi factor en todos los sitios que sea posible activarlo (preferentemente que no involucre SMS o email, sino una app o dispositivo de tokens por ejemplo).
A eso venía yo... lo utilizo en local, evidentemente si me cogen el archivo local podrían abrirlo.
BorrarAnotarlo en una libreta tampoco es solución y tener un "método" tampoco es fiable ya que si descubren el método estás comprometido