LastPass publica detalles del ciberataque que recibió

LastPass, posiblemente el gestor de contraseñas más popular, reconoció el mes pasado haber sido hackeado, aunque, según su versión, no encontró evidencias de que los datos de los clientes o las bóvedas de contraseñas cifradas hubiesen sido comprometidas.

Casi un mes después, la empresa ha compartido a través de su blog oficial más información sobre el ciberataque que recibió, pudiéndose destacar, entre otras cosas, que el atacante logró tener acceso al entorno de desarrollo del LastPass durante cuatro días. Si bien reconoce lo ocurrido, todavía no termina de explicarse cómo ha pasado exactamente.

LastPass ha expuesto a través de una actualización de la entrada en el blog oficial que el actor malicioso consiguió hacerse pasar por un desarrollador después de que este lograra autenticarse correctamente mediante el proceso de varios factores. Además, dice que ha expuesto algunos detalles en aras de ofrecer transparencia ante sus comunidades de usuarios y empresas, y es que el oscurantismo, muchas veces, termina generando más desconfianza que otra cosa.

La actualización de la entrada en blog oficial, que lleva la firma de Karim Toubba, CEO de LastPass, expone que “hemos completado el proceso de investigación y análisis forense en asociación con Mandiant. Nuestra investigación reveló que la actividad del actor de amenazas se limitó a un período de cuatro días en agosto de 2022. Durante este período, el equipo de seguridad de LastPass detectó la actividad del actor de amenazas y luego contuvo el incidente. No hay evidencia de ninguna actividad del actor de amenazas más allá de la línea de tiempo establecida. También podemos confirmar que no hay evidencia de que este incidente involucre ningún acceso a los datos del cliente o bóvedas de contraseñas encriptadas.”

“Nuestra investigación determinó que el actor de amenazas obtuvo acceso al entorno de desarrollo utilizando el punto final comprometido de un desarrollador. Si bien el método utilizado para comprometer el punto final no es concluyente, el actor de la amenaza utilizó su acceso persistente para hacerse pasar por el desarrollador una vez que el desarrollador se autenticó con éxito mediante la autenticación de varios factores. Aunque el actor de amenazas pudo acceder al entorno de desarrollo, el diseño y los controles de nuestro sistema impidieron que el actor de amenazas accediera a los datos de los clientes o a las bóvedas de contraseñas cifradas”.

LastPass explica que el entorno de desarrollo está físicamente separado y no tiene conectividad directa con el entorno de producción, por lo que el actor malicioso no ha podido acceder a los datos de los usuarios del gestor de contraseñas. Pese a todo, y en caso de no haberlo hecho después de que el incidente viera la luz, recomendamos cambiar cuanto antes la contraseña de la bóveda, y en caso de haber perdido totalmente la confianza en LastPass, el usuario puede mirar estas alternativas de código abierto.