El popular servicio de administración de contraseñas LastPass dijo que está investigando un segundo incidente de seguridad que involucró a atacantes que accedieron a parte de la información de sus clientes.
“Recientemente detectamos una actividad inusual dentro de un servicio de almacenamiento en la nube de un tercero, que actualmente comparten tanto LastPass como su afiliado, GoTo”, dijo el CEO de LastPass, Karim Toubba .
GoTo, anteriormente llamada LogMeIn, adquirió LastPass en octubre de 2015. En diciembre de 2021, la empresa con sede en Boston anunció planes para escindir LastPass como empresa independiente.
La irrupción digital resultó en que un tercero no autorizado aprovechara la información obtenida luego de una violación anterior en agosto de 2022 para acceder a “ciertos elementos de la información de nuestros clientes”.
El evento de seguridad de agosto de 2022 apuntó a su entorno de desarrollo, lo que provocó el robo de parte de su código fuente e información técnica. En septiembre, LastPass reveló que el actor de amenazas tuvo acceso durante cuatro días.
El alcance de la infracción aún se desconoce y no está claro si los clientes de LastPass y GoTo se ven afectados. Sin embargo, las contraseñas de los usuarios no se vieron comprometidas.
La compañía dijo que contrató los servicios de Mandiant, propiedad de Google, y alertó a la policía sobre el último desarrollo. También afirmó que está trabajando para identificar a qué datos específicos se accedió.
Además, enfatizó que continúa implementando medidas de seguridad mejoradas y capacidades de monitoreo para ayudar a detectar y prevenir una mayor actividad de los actores de amenazas.
