La solución de administración de contraseñas LastPass compartió más detalles relacionados con el incidente de seguridad el mes pasado y reveló que el actor de amenazas tuvo acceso a sus sistemas durante un período de cuatro días en agosto de 2022.
«No hay evidencia de ninguna actividad de actor de amenazas más allá de la línea de tiempo establecida», dijo Karim Toubba, CEO de LastPass. dijo en una actualización compartida el 15 de septiembre, agregando, «no hay evidencia de que este incidente involucre ningún acceso a los datos del cliente o bóvedas de contraseñas encriptadas».
LastPass reveló a fines de agosto que una infracción dirigida a su entorno de desarrollo resultó en el robo de parte de su código fuente e información técnica, aunque no se ofrecieron más detalles.
La compañía, que dijo que completó la investigación del hackeo en asociación con la firma de respuesta a incidentes Mandiant, dijo que el acceso se logró utilizando el punto final comprometido de un desarrollador.
Si bien el método exacto de entrada inicial sigue siendo «no concluyente», LastPass señaló que el adversario abusó del acceso persistente para «suplantar al desarrollador» después de que la víctima se autenticó mediante la autenticación de múltiples factores.
La empresa reiteró que, a pesar del acceso no autorizado, el atacante no pudo obtener ningún dato confidencial del cliente debido al diseño del sistema y los controles de confianza cero implementados para evitar este tipo de incidentes.
Esto incluye la separación completa de los entornos de desarrollo y producción y su propia incapacidad para acceder a las bóvedas de contraseñas de los clientes sin la contraseña maestra establecida por los usuarios.
«Sin la contraseña maestra, nadie más que el propietario de una bóveda puede descifrar los datos de la bóveda», señaló Toubba.
Además, también dijo que realizó verificaciones de integridad del código fuente para buscar signos de envenenamiento y que los desarrolladores no poseen los permisos necesarios para enviar el código fuente directamente desde el entorno de desarrollo a la producción.
Por último, pero no menos importante, LastPass señaló que contrató los servicios de una empresa de seguridad cibernética «líder» para mejorar sus prácticas de seguridad de código fuente y que implementó barandillas de seguridad de punto final adicionales para detectar y prevenir mejor los ataques dirigidos a sus sistemas.