Usuarios de LastPass afirman que sus contraseñas maestras fueron comprometidas
Muchos usuarios de LastPass reportaron que sus contraseñas maestras fueron comprometidas. Esto surgió después de recibir advertencias por correo electrónico de que alguien intentó usarlas para iniciar sesión en sus cuentas desde ubicaciones desconocidas.
Las notificaciones por correo electrónico mencionaban que los intentos de inicio de sesión fueron bloqueados porque se realizaron desde ubicaciones desconocidas en todo el mundo.
“Alguien acaba de usar tu contraseña maestra para intentar iniciar sesión en tu cuenta desde un dispositivo o ubicación que no reconocimos”.
“LastPass bloqueó este intento, pero deberías revisar detenidamente. ¿Eres tú?”
Correos de las alertas de inicio de sesión.
Los reportes de contraseñas maestras de LastPass comprometidas fueron publicadas a través de múltiples sitios de redes sociales y plataformas en línea. por ejemplo, en Twitter , Reddit y Hacker News (reporte original de Greg Sadetsky).
LastPass dice que fue un ataque de relleno de credenciales
La directora senior de LogMeIn, Nikolett Bacso-Albaum, dijo que LastPass investigó los reportes de intentos de inicio de sesión bloqueados. La empresa determinó que la actividad está relacionada con una actividad bastante común relacionada con bots. Específicamente, cuando un actor malintencionado intenta acceder a las cuentas de usuario (en este caso, LastPass) utilizando direcciones de correo electrónico y contraseñas obtenidas de infracciones de terceros relacionadas con otros servicios no asociados.
“Es importante tener en cuenta que no tenemos ningún indicio de que se haya accedido correctamente a las cuentas o de que el servicio de LastPass haya sido comprometido por una parte no autorizada. Controlamos regularmente este tipo de actividad y seguiremos tomando medidas diseñadas para garantizar que LastPass, sus usuarios, y sus datos permanezcan protegidos y seguros”.
Nikolett Bacso-Albaum
Sin embargo, los usuarios que recibieron estas advertencias han declarado que sus contraseñas son exclusivas de LastPass y que no las han utilizado en ningún otro lugar. Hemos compartido estas inquietudes con LastPass, pero aún no hemos recibido una respuesta.
Si bien LastPass no compartió ningún detalle sobre los ciberdelincuentes de estos intentos de relleno de credenciales, el investigador de seguridad Bob Diachenko dijo que recientemente encontró miles de credenciales de LastPass mientras revisaba los registros de malware de Redline Stealer.
Los clientes de LastPass que recibieron tales alertas de inicio de sesión contradijeron esta afirmación. Ellos dijeron que sus correos electrónicos no estaban en la lista de pares de inicio de sesión recolectados por RedLine Stealer que encontró Diachenko.
Otros métodos de adquisición
Esto significa que, al menos en el caso de algunos de estos informes, los ciberdelincuentes detrás de los intentos de adquisición utilizaron otros medios para robar las contraseñas maestras de sus objetivos.
Algunos clientes también informaron haber cambiado sus contraseñas maestras desde que recibieron la advertencia de inicio de sesión. Sin embargo, recibieron otra alerta después de que cambiaron la contraseña.
Para empeorar las cosas, los clientes que intentaron deshabilitar y eliminar sus cuentas de LastPass después de recibir estas advertencias también reportaron que observaron errores.
“Algo salió mal”, fue el error que observaron algunos usuarios después de hacer clic en el botón “Eliminar”.
Recomendamos a los usuarios de LastPass que habiliten la autenticación multifactor para proteger sus cuentas incluso si su contraseña maestra se vio comprometida.
Hace dos años, en septiembre de 2019, LastPass solucionó una vulnerabilidad de seguridad en la extensión de Chrome del administrador de contraseñas. La vulnerabilidad podría haber permitido a los ciberdelincuentes robar las credenciales utilizadas por última vez para iniciar sesión en un sitio.
Declaraciones oficiales de LastPass
Dan DeMichele, vicepresidente de administración de productos de LastPass, dijo que algunas de las advertencias de inicio de sesión probablemente fueron enviadas por error. A continuación, te compartimos la declaración completa para que tomes tus propias medidas de seguridad.
Como indicamos anteriormente, LastPass está al tanto y ha estado investigando reportes recientes de usuarios. Nos referimos a los usuarios que recibieron correos electrónicos con alertan sobre intentos de inicio de sesión bloqueados.
Trabajamos rápidamente para investigar esta actividad. Y, en este momento, no tenemos indicios de que ninguna cuenta de LastPass haya sido comprometida por un tercero no autorizado como resultado de este relleno de credenciales. Tampoco hemos encontrado ningún indicio de que las credenciales de LastPass del usuario hayan sido recolectadas por malware, extensiones de navegador fraudulentas o campañas de phishing.
Sin embargo, por precaución, continuamos investigando. Este es un esfuerzo para determinar qué estaba causando que los correos electrónicos de alerta de seguridad automatizados se activaran desde nuestros sistemas.
Desde entonces, nuestra investigación descubrió que algunas de estas alertas de seguridad, que se enviaron a un subconjunto limitado de usuarios de LastPass, probablemente se enviaron por error. Como resultado, hemos ajustado nuestros sistemas de alerta de seguridad y desde entonces este problema se ha resuelto.
Estas alertas se activaron debido a los esfuerzos continuos de LastPass para defender a sus clientes de los ciberdelincuentes y los intentos de relleno de credenciales. También es importante reiterar que implementamos el modelo de seguridad de conocimiento cero. Esto significa que en ningún momento LastPass almacena, tiene conocimiento o acceso a la(s) contraseña(s) maestra(s) de un usuario.
Continuaremos monitoreando regularmente la actividad inusual o maliciosa. Y, según sea necesario, continuaremos tomando las medidas diseñadas para garantizar que LastPass, sus usuarios y sus datos permanezcan protegidos y seguros.