LastPass admite grave infracción de datos: ciberdelincuentes robaron datos de los clientes
LastPass, uno de los principales administradores de contraseñas, afirmó que los hackers obtuvieron una gran cantidad de información personal perteneciente a sus clientes. Entre la información robada están contraseñas cifradas con hash y otros datos almacenados en las bóvedas de los clientes.
La revelación, publicada el jueves, representa una actualización dramática de una infracción que LastPass reveló en agosto. En ese momento, la compañía dijo que un ciberdelincuente obtuvo acceso no autorizado a través de una sola cuenta de desarrollador comprometida a partes del entorno de desarrollo del administrador de contraseñas. El atacante “tomó partes del código fuente y alguna información técnica patentada de LastPass”. La compañía dijo en ese momento que las contraseñas maestras de los clientes, las contraseñas cifradas, la información personal y otros datos almacenados en las cuentas de los clientes no se vieron afectados.
Datos confidenciales cifrados y no cifrados fueron robados
En la actualización del jueves, la compañía dijo que los hackers accedieron a información personal y metadatos relacionados, incluidos nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP que los clientes usaron para acceder a los servicios de LastPass. Los hackers también robaron una copia de seguridad de los datos de la bóveda de los clientes. La copia de seguridad incluía datos no cifrados y URLs de sitios web. Además, otros datos cifrados, como nombres de usuarios y contraseñas de sitios web, notas seguras y datos rellenados en formularios.
“Estos campos cifrados permanecen protegidos con cifrado AES de 256 bits y solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario mediante nuestra arquitectura Zero Knowledge”.
Zero Knowledge se refiere a los sistemas de almacenamiento que son imposibles de descifrar para el proveedor de servicios.
El director ejecutivo también afirmó:
Como recordatorio, LastPass nunca conoce la contraseña maestra y LastPass no la almacena ni la mantiene. El cifrado y descifrado de datos se realiza solo en el cliente local de LastPass. Para obtener más información sobre nuestra arquitectura Zero Knowledge y los algoritmos de cifrado.
La actualización afirma que en la investigación de la compañía hasta el momento, no hay indicios de que se haya accedido a datos de tarjetas de crédito sin cifrar. LastPass no almacena los datos de la tarjeta de crédito en su totalidad, y los datos de la tarjeta de crédito que almacena se mantienen en un entorno de almacenamiento en la nube diferente al que accedió el atacante.
Incidente
La intrusión revelada en agosto que permitió a los hackers robar el código fuente de LastPass y la información técnica patentada parece estar relacionada con una infracción separada de Twilio. Twilio es un proveedor de servicios de comunicación y autenticación de dos factores con sede en San Francisco. El atacante en ese incidente robó datos de 163 de los clientes de Twilio. Los mismos phishers que atacaron a Twilio también vulneraron al menos otras 136 empresas, incluida LastPass.
En la actualización publicada recientemente se afirma que el atacante podría usar el código fuente y la información técnica robada de LastPass para hackear a un empleado de LastPass por separado.. Esto para obtener credenciales de seguridad y claves para acceder y descifrar volúmenes de almacenamiento dentro del servicio de almacenamiento basado en la nube de la compañía.
“Hasta la fecha, hemos determinado que una vez que se obtuvieron la clave de acceso al almacenamiento en la nube y las claves de descifrado del contenedor de almacenamiento dual, el atacante robó información de la copia de seguridad que contenía información básica de la cuenta del cliente y metadatos relacionados. Esto incluye los nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedían al servicio de LastPass”. El atacante también pudo robar una copia de seguridad de los datos de la bóveda del cliente desde el contenedor de almacenamiento cifrado, que se almacena en un formato binario patentado que contiene datos no cifrados. Entre estos datos están URLs de sitios web, así como campos confidenciales completamente cifrados, como nombres de usuario y contraseñas, notas seguras y datos rellenados en formularios”.
Hasta este momento, LastPass no ha revelado cuántos son los clientes afectados por el incidente.
Reforzando la seguridad
El informe también enumeró varias contramedidas que LastPass ha tomado para reforzar su seguridad luego de la infracción. Los pasos incluyen desmantelar el desarrollo hackeado y reconstruirlo desde cero. Asimismo, retener un servicio de respuesta y detección de punto final administrado; y rotar todas las credenciales y certificados relevantes que pueden haber sido afectados.
Dada la confidencialidad de los datos almacenados por LastPass, es alarmante que se haya obtenido una cantidad tan amplia de datos personales. También es preocupante el hecho de que las bóvedas de los usuarios ahora están en manos de los ciberdelincuentes. Si bien descifrar los hash de la contraseña requeriría una gran cantidad de recursos, no está fuera de discusión, particularmente dado lo metódico e ingenioso que era el atacante.
Los clientes de LastPass deben asegurarse de haber cambiado su contraseña maestra y todas las contraseñas almacenadas en su bóveda. También deben asegurarse de que están usando configuraciones que superan la configuración predeterminada de LastPass. Esas configuraciones codifican las contraseñas almacenadas usando 100,100 iteraciones de la función de derivación de clave basada en contraseña (PBKDF2), un esquema de hash que puede hacer que sea inviable descifrar contraseñas maestras que son largas, únicas y generadas aleatoriamente. Las 100,100 iteraciones están lamentablemente por debajo del umbral de 310,000 iteraciones que OWASP recomienda para PBKDF2 en combinación con el algoritmo hash SHA256 utilizado por LastPass. Los clientes de LastPass pueden comprobar el número actual de iteraciones de PBKDF2 para sus cuentas aquí.
Contramedidas
Tanto si eres usuario de LastPass o no, deberías crear una cuenta en Have I been Pwned? o en servicios similares para enterarte inmediatamente de cualquier infracción que te afecte.
Los clientes de LastPass también deben estar más atentos a los correos electrónicos de phishing y las llamadas telefónicas supuestamente de LastPass u otros servicios que buscan datos confidenciales y otras estafas que explotan sus datos personales comprometidos.