La violación de seguridad de LastPass en agosto de 2022 puede haber sido más grave de lo que la compañía reveló anteriormente.
El popular servicio de administración de contraseñas reveló el jueves que actores maliciosos obtuvieron un tesoro de información personal perteneciente a sus clientes que incluye sus bóvedas de contraseñas cifradas mediante el uso de datos desviados del robo anterior.
También se robó “información básica de la cuenta del cliente y metadatos relacionados, incluidos nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedían al servicio LastPass”, dijo la compañía.
El incidente de agosto de 2022, que sigue siendo objeto de una investigación en curso, involucró a los malhechores que accedieron al código fuente y la información técnica patentada de su entorno de desarrollo a través de una sola cuenta de empleado comprometida.
LastPass dijo que esto permitió al atacante no identificado obtener credenciales y claves que posteriormente se aprovecharon para extraer información de una copia de seguridad almacenada en un servicio de almacenamiento basado en la nube, que enfatizó que está físicamente separado de su entorno de producción.
Además de eso, se dice que el adversario copió los datos de la bóveda del cliente del servicio de almacenamiento cifrado. Se almacena en un “formato binario propietario” que contiene datos no cifrados, como URL de sitios web, y campos totalmente cifrados como nombres de usuario y contraseñas de sitios web, notas seguras y datos rellenados con formularios.
Estos campos, explicó la compañía, están protegidos mediante cifrado AES de 256 bits y solo se pueden decodificar con una clave derivada de la contraseña maestra de los usuarios en los dispositivos de los usuarios.
LastPass confirmó que el lapso de seguridad no implicó el acceso a datos de tarjetas de crédito sin cifrar, ya que esta información no se archivó en el contenedor de almacenamiento en la nube.
La compañía no divulgó qué tan reciente era la copia de seguridad, pero advirtió que el actor de amenazas “puede intentar usar la fuerza bruta para adivinar su contraseña maestra y descifrar las copias de los datos de la bóveda que tomaron”, así como apuntar a los clientes con ataques de ingeniería social y relleno de credenciales.
Cabe señalar en esta etapa que el éxito de los ataques de fuerza bruta para predecir las contraseñas maestras es inversamente proporcional a su fuerza, lo que significa que cuanto más fácil es adivinar la contraseña, menor es el número de intentos necesarios para descifrarla.
“Si reutiliza su contraseña maestra y esa contraseña se vio comprometida, un actor de amenazas puede usar volcados de credenciales comprometidas que ya están disponibles en Internet para intentar acceder a su cuenta”, advirtió LastPass.
El hecho de que las URL de los sitios web estén en texto plano significa que un descifrado exitoso de la contraseña maestra podría dar a los atacantes una idea de los sitios web con los que un usuario en particular tiene cuentas, permitiéndoles montar ataques adicionales de phishing o robo de credenciales.
La compañía dijo además que notificó a un pequeño subconjunto de sus clientes comerciales, lo que equivale a menos del 3%, para tomar ciertas medidas no especificadas basadas en las configuraciones de sus cuentas.
El desarrollo se produce días después de que Okta reconociera que los actores de amenazas obtuvieron acceso no autorizado a sus repositorios de Workforce Identity Cloud (WIC) alojados en GitHub y copiaron el código fuente.
