Uno de los administradores de contraseñas más grandes del mundo con 25 millones de usuarios, LastPass, ha confirmado que ha sido pirateado . En un aviso publicado el 25 de agosto, Karim Toubba, CEO de LastPass, dijo que una parte no autorizada había robado “partes del código fuente y alguna información técnica patentada de LastPass”.
La brecha parece haber sido de los servidores de desarrollo, facilitada por un compromiso de una cuenta de desarrollador de LastPass y tuvo lugar hace dos semanas. Los respondedores de incidentes han contenido la infracción y LastPass dice que no hay evidencia de más actividad maliciosa. Toubba también confirmó que tampoco se ha encontrado evidencia de que se haya accedido a datos de clientes o bóvedas de contraseñas encriptadas.
LastPass ha dejado claro que, gracias a la arquitectura de “conocimiento cero” implementada, las contraseñas maestras nunca se almacenan. “LastPass nunca puede conocer ni obtener acceso a la contraseña maestra de nuestros clientes”, dijo Toubba, “este incidente no comprometió su contraseña maestra”. Como tal, LastPass dice que los usuarios no requieren ninguna acción con respecto a sus bóvedas de contraseñas.
Si bien se debe felicitar a LastPass por la transparencia que se muestra en respuesta a este incidente, no es la primera vez que los usuarios del administrador de contraseñas tienen que lidiar con noticias de una violación. En junio de 2015, la empresa confirmó que los piratas informáticos habían accedido a la red . Entonces, a diferencia de ahora, a los usuarios se les pedía que cambiaran las contraseñas maestras al iniciar sesión.
Es una buena noticia que los datos de los clientes no se hayan visto comprometidos en este último incidente, pero el hecho de que el intruso haya accedido al código fuente y a la “información técnica patentada” es preocupante. Sobre todo, porque no hay más detalles sobre lo que se ha robado exactamente.
