La brecha de seguridad de LastPass de agosto de 2022 puede haber sido más grave de lo que la empresa reveló anteriormente.
El popular servicio de administración de contraseñas reveló el jueves que los actores maliciosos obtuvieron una gran cantidad de información personal perteneciente a sus clientes que incluye sus bóvedas de contraseñas encriptadas utilizando datos desviados del robo.
También robaron «información básica de la cuenta del cliente y metadatos relacionados, incluidos nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedían al servicio de LastPass». dijo.
El incidente de agosto de 2022, que sigue siendo objeto de una investigación en curso, involucró a los delincuentes que accedieron al código fuente y a la información técnica patentada de su entorno de desarrollo a través de una única cuenta de empleado comprometida.
LastPass dijo que esto permitió al atacante no identificado obtener credenciales y claves que luego se aprovecharon para extraer información de una copia de seguridad almacenada en un servicio de almacenamiento basado en la nube, que enfatizó que está físicamente separado de su entorno de producción.
Además de eso, se dice que el adversario copió los datos de la bóveda del cliente del servicio de almacenamiento encriptado. Se almacena en un «formato binario patentado» que contiene datos no cifrados, como direcciones URL de sitios web, y campos totalmente cifrados, como nombres de usuario y contraseñas de sitios web, notas seguras y datos rellenados en formularios.
Estos campos, explicó la compañía, están protegidos mediante encriptación AES de 256 bits y solo pueden decodificarse con una clave derivada del usuario. contraseña maestra en los dispositivos de los usuarios.
LastPass confirmó que la falla de seguridad no implicó el acceso a datos de tarjetas de crédito sin cifrar, ya que esta información no se archivó en el contenedor de almacenamiento en la nube.
La compañía no divulgó qué tan reciente fue la copia de seguridad, pero advirtió que el actor de amenazas «puede intentar usar la fuerza bruta para adivinar su contraseña maestra y descifrar las copias de los datos de la bóveda que tomaron», así como apuntar a los clientes con ingeniería social y Ataques de relleno de credenciales.
Cabe señalar en esta etapa que el éxito de los ataques de fuerza bruta para predecir las contraseñas maestras es inversamente proporcional a su fuerza, lo que significa que cuanto más fácil sea adivinar la contraseña, menor será el número de intentos necesarios para descifrarla.
«Si reutiliza su contraseña maestra y esa contraseña alguna vez se vio comprometida, un actor de amenazas puede usar volcados de credenciales comprometidas que ya están disponibles en Internet para intentar acceder a su cuenta», advirtió LastPass.
El hecho de que las URL de los sitios web estén en texto sin formato significa que un descifrado exitoso de la contraseña maestra podría dar a los atacantes una idea de los sitios web en los que un usuario en particular tiene cuentas, permitiéndoles montar ataques adicionales de phishing o robo de credenciales.
La compañía dijo además que notificó a un pequeño subconjunto de sus clientes comerciales, que asciende a menos del 3%, para tomar ciertas medidas no especificadas en función de las configuraciones de sus cuentas.
El desarrollo se produce días después de que Okta reconoció que los actores de amenazas obtuvieron acceso no autorizado a sus repositorios de Workforce Identity Cloud (WIC) alojados en GitHub y copiaron el código fuente.