LastPass confirmó el miércoles que las bóvedas encriptadas que contenían nombres de usuario y contraseñas para sitios web de clientes, notas seguras y datos completados por formularios fueron robadas en una brecha de seguridad reciente.
A principios de este mes, el popular administrador de contraseñas informó a sus usuarios que un actor de amenazas había utilizado información obtenida de un ataque anterior en agosto para ingresar a su almacenamiento en la nube y robar datos de clientes, que incluían nombres de empresas, nombres de usuarios finales, direcciones de facturación, correo electrónico. direcciones, números de teléfono y direcciones IP.
Sin embargo, la investigación de LastPass reveló que las contraseñas, aunque encriptadas, también formaban parte del saqueo.
Ultimo pase me ha dicho en una entrada de blog del jueves:
El actor de amenazas también pudo copiar una copia de seguridad de los datos de Client Vault desde el contenedor de almacenamiento cifrado que se almacena en un formato binario patentado que contiene datos no cifrados, como las URL del sitio web, así como campos confidenciales totalmente cifrados como el sitio web. nombres de usuario y contraseñas, notas seguras y datos rellenados de formularios.
Estos campos cifrados permanecen seguros con el cifrado AES de 256 bits y solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario mediante nuestra arquitectura Zero Knowledge. Como recordatorio, LastPass nunca conoce la contraseña maestra y LastPass no la almacena ni la mantiene.
Todas las contraseñas, notas seguras o datos completados por el usuario almacenados con el servicio permanecen encriptados y, por lo tanto, seguros, siempre que sus contraseñas maestras sean seguras y se creen de acuerdo con las mejores prácticas recomendadas por LastPass.
“El actor de amenazas puede intentar usar la fuerza bruta para adivinar su contraseña maestra y descifrar las copias de los datos de la bóveda que han tomado”, advirtió la compañía. Cumplir con el mínimo de doce caracteres de LastPass solo para contraseñas maestras “minimiza significativamente la posibilidad de adivinar contraseñas con fuerza bruta”.
Sin embargo, si ha reutilizado su contraseña maestra en otros sitios web, corre un riesgo mucho mayor. Si no está seguro de la seguridad de su contraseña maestra, LastPass recomienda que considere cambiar las contraseñas de los sitios web que ha almacenado en el servicio como medida de seguridad adicional.
“El actor de amenazas también puede apuntar a los clientes con phishing, relleno de credenciales u otros ataques de fuerza bruta contra cuentas en línea asociadas con su LastPass Vault”, agregó la compañía, advirtiendo a los clientes que tengan cuidado con la ingeniería social y otros ataques, que se han vuelto más probables dado la cantidad de información personal del usuario que ha sido robada por los perpetradores.
LastPass aseguró a sus clientes que su información de pago no se vio comprometida. “No hay evidencia de que se haya accedido a datos de tarjetas de crédito sin cifrar”, dijo la compañía. “LastPass no almacena números completos de tarjetas de crédito y la información de las tarjetas de crédito no se archiva”.
Tras el incidente de agosto, LastPass dijo que eliminó todo acceso potencial a su entorno de desarrollo al desmantelar el entorno afectado en su totalidad y reconstruir un nuevo entorno desde cero para evitar más infracciones.