Este verano, LastPass reveló una primera brecha en su infraestructura. Hace unos días, el administrador de contraseñas confirmó que los datos del cliente han sido robados. En un entrada en el blog publicado el 22 de diciembre de 2022, LastPass aclara que las contraseñas robadas permanecen encriptadas.
LastPass sufre una brecha de seguridad
Karim Toubba, el CEO de LastPass (el equivalente de Dashlane), explica que ” Cierto código fuente e información técnica fue robado de nuestro entorno de desarrollo y utilizado para apuntar a un empleado de la empresa. Las credenciales robadas se usaron para acceder y descifrar ciertos volúmenes de almacenamiento en nuestras infraestructuras en la nube “. LastPass es uno de esos servicios que le permiten proteger sus contraseñas en Internet para encontrarlos rápidamente, desde un teléfono inteligente o una computadora.
Tras una primera falla reportada en agosto de 2022, el administrador de contraseñas precisa que un hacker logró succionar parte de las copias de seguridad” que albergaba información proporcionada por los clientes “. Entre los datos personales recabados se encuentran el nombre, apellidos, domicilio, teléfono, correo electrónico, dirección IP, el número de identificación del dispositivo que utiliza para conectarse a Internet y, en ocasiones, el nombre de su empresa. Por ahora, la empresa no especifica cuántos usuarios se ven afectados.
Es un duro golpe para la empresa que se supone debe poder proteger los datos de sus clientes, en particular por su carácter ultraconfidencial. Estos datos son valiosos para los ciberdelincuentes. De hecho, permiten facilitar las acciones de phishing. En su publicación de blog, LastPass deja en claro a sus clientes que deben tener cuidado y les advierte que no “ alguna vez se pondrá en contacto con ellos para pedirles la contraseña “.
El administrador de contraseñas asegura que, si bien es probable que las contraseñas de los clientes también hayan sido robadas, ” permanecer protegido por un cifrado fuerte » : AES de 256 bits (para el Estándar de cifrado avanzado. Los piratas informáticos no pueden desbloquear estos datos porque solo los clientes conocen su contraseña maestra. Una medida de seguridad denominada ” arquitectura de conocimiento cero “. En caso de duda, LastPass aún recomienda que los clientes cambien sus contraseñas.