[01/03/2023] El 30 de noviembre del 2022, el gestor de contraseñas LastPass informó a sus clientes de un incidente de ciberseguridad tras una actividad inusual en un servicio de almacenamiento en la nube de terceros. Aunque LastPass afirma que las contraseñas de los usuarios permanecen encriptadas de forma segura, admitió que ciertos elementos de la información de los clientes han quedado expuestos. El incidente de seguridad fue el último que afectó al servicio en los últimos tiempos tras el acceso no autorizado a su entorno de desarrollo en agosto del año pasado, vulnerabilidades graves en el 2017, un ataque de phishing en el 2016 y una violación de datos en el 2015.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
He aquí una cronología de las violaciones de datos más recientes de LastPass desde agosto hasta la actualidad.
25 de agosto del 2022: LastPass detecta un acceso "no autorizado".
El CEO de LastPass, Karim Toubba, escribió para informar a los usuarios de LastPass que la compañía había detectado actividad inusual dentro de partes del entorno de desarrollo de LastPass. "Hemos determinado que una parte no autorizada obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una única cuenta de desarrollador comprometida y tomó partes del código fuente y alguna información técnica propietaria de LastPass. Nuestros productos y servicios funcionan con normalidad".
En respuesta al incidente, LastPass desplegó medidas de contención y mitigación, y contrató a una empresa de ciberseguridad y forense, añadió Toubba. "Si bien nuestra investigación está en curso, hemos logrado un estado de contención, implementado medidas de seguridad mejoradas adicionales y no vemos más evidencia de actividad no autorizada".
15 de septiembre del 2022: LastPass dice que no hay datos de clientes ni contraseñas comprometidas
LastPass anunció que había completado su investigación de la brecha de agosto y determinó que el atacante no accedió a ningún dato de clientes o bóveda de contraseñas. También confirmó que el punto de acceso fue la computadora comprometida de un desarrollador y que el atacante estuvo en el sistema durante un total de cuatro días.
30 de noviembre del 2022: LastPass notifica a sus clientes un nuevo incidente de seguridad
LastPass notificó a los usuarios de un nuevo incidente de seguridad que su equipo estaba investigando. "Recientemente detectamos actividad inusual dentro de un servicio de almacenamiento en la nube de terceros, que actualmente comparten tanto LastPass como su filial, GoTo. Inmediatamente iniciamos una investigación, contratamos a Mandiant, una empresa de seguridad líder, y alertamos a las fuerzas de seguridad", escribió Toubba.
La compañía determinó que una parte no autorizada, utilizando la información obtenida en el incidente de agosto del 2022, fue capaz de acceder a la información de ciertos clientes, señaló Toubba, al tiempo que afirmó que las contraseñas permanecían encriptadas de forma segura debido a la arquitectura Zero Knowledge de LastPass. "Estamos trabajando diligentemente para comprender el alcance del incidente, e identificar a qué información específica se ha accedido. Mientras tanto, podemos confirmar que los productos y servicios de LastPass siguen siendo totalmente funcionales", añadió. Se aconsejó a los usuarios que siguieran las mejores prácticas en torno a la instalación y configuración de LastPass.
1 de diciembre del 2022: Un investigador insta a los clientes de LastPass a mantenerse alerta
Yoav Iellin, investigador senior de Silverfort, declaró que dado el gran número de contraseñas que LastPass protege en todo el mundo, sigue siendo un gran objetivo de ataque. "La empresa ha admitido que el autor de la amenaza accedió utilizando la información obtenida en el ataque anterior. No se sabe exactamente de qué información se trata, pero lo normal es que, tras sufrir una brecha, la organización genere nuevas claves de acceso y sustituya otras credenciales comprometidas. Esto asegura que cosas como el almacenamiento en la nube y las claves de acceso a las copias de seguridad no puedan ser reutilizadas".
Iellin instó a los usuarios a permanecer atentos a las actualizaciones de la empresa y a tomarse el tiempo necesario para verificar que son legítimas antes de emprender cualquier acción. "Además, asegurarse de tener autenticación de dos factores en cualquier aplicación con contraseñas en LastPass y cambiar las contraseñas proporcionará el máximo nivel de seguridad", añadió Iellin.
22 de diciembre del 2022: LastPass confirma el robo de código fuente e información técnica
En una actualización de la investigación, Toubba declaró que el código fuente y la información técnica robados del entorno de desarrollo de LastPass se utilizaron para apuntar a un empleado y obtener credenciales / claves, que se utilizaron para acceder y descifrar algunos volúmenes de almacenamiento dentro de un servicio de almacenamiento basado en la nube. "Hasta la fecha, hemos determinado que una vez que se obtuvieron la clave de acceso al almacenamiento en la nube y las claves de descifrado del contenedor de almacenamiento dual, el actor de la amenaza copió información de la copia de seguridad que contenía información básica de la cuenta del cliente y metadatos relacionados, incluidos nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedían a los servicios de LastPass", escribió Toubba.
La amenaza también fue capaz de copiar una copia de seguridad de los datos de la bóveda del cliente desde el contenedor de almacenamiento cifrado, que se almacena en un formato binario propietario que contiene tanto datos no cifrados, como URL de sitios web, así como campos sensibles totalmente cifrados, como nombres de usuario y contraseñas de sitios web, notas seguras y datos rellenados de formularios, añadió. "No hay pruebas de que se haya accedido a datos no cifrados de tarjetas de crédito".
Toubba advirtió que el actor de la amenaza puede intentar usar la fuerza bruta para adivinar las contraseñas maestras y descifrar las copias de los datos de la bóveda que tomaron, pero debido a los métodos de hash y cifrado utilizados por LastPass sería extremadamente difícil intentar adivinar por fuerza bruta las contraseñas maestras para aquellos clientes que siguen sus mejores prácticas de contraseña, continuó.
"El actor de la amenaza también puede apuntar a los clientes con ataques de phishing, relleno de credenciales u otros ataques de fuerza bruta contra cuentas en línea asociadas con su bóveda de LastPass". LastPass agregó capacidades adicionales de registro y alerta para ayudar a detectar cualquier otra actividad no autorizada y está rotando activamente todas las credenciales y certificados relevantes que pueden haber sido afectados y complementando la seguridad de punto final existente, declaró Toubba. "También estamos realizando un análisis exhaustivo de todas las cuentas con indicios de actividad sospechosa en nuestro servicio de almacenamiento en la nube, añadiendo medidas de protección adicionales en este entorno y analizando todos los datos de este entorno para asegurarnos de que sabemos a qué ha accedido el autor de la amenaza. Se trata de una investigación en curso. Por precaución, hemos notificado este incidente a las fuerzas de seguridad y a las autoridades reguladoras pertinentes. Mientras tanto, nuestros servicios funcionan con normalidad y seguimos operando en estado de alerta máxima".
3 de enero de 2023: Un demandante anónimo presenta una demanda colectiva contra LastPass
Un demandante anónimo presentó una demanda colectiva contra LastPass en relación con las violaciones de datos. "Se trata de una demanda colectiva por daños y perjuicios contra el demandado, por no haber actuado con la diligencia razonable para asegurar y salvaguardar los datos altamente sensibles de los consumidores en relación con una filtración masiva de datos que duró meses", rezaba la demanda. Se expusieron datos altamente sensibles, que afectaron potencialmente a millones de usuarios de LastPass, dando lugar a la publicación no autorizada y posterior uso indebido de sus nombres, nombres de usuario final, direcciones de facturación, direcciones de correo electrónico, números de teléfono, direcciones IP desde las que los clientes accedían al servicio LastPass, y datos de la bóveda del cliente. En la demanda se alegaba que las "buenas prácticas" de LastPass eran lamentablemente insuficientes para proteger la información privada de sus usuarios frente a riesgos y usos indebidos.
23 de enero del 2023: El CEO de GoTo, empresa matriz de LastPass, afirma que un atacante filtró copias de seguridad cifradas
En una actualización de la investigación en curso sobre el incidente de seguridad, Paddy Srinivasan, CEO de la empresa matriz de LastPass GoTo, declaró que un actor de amenaza exfiltró copias de seguridad cifradas de un servicio de almacenamiento en la nube de terceros relacionados con los siguientes productos: Central, Pro, join.me, Hamachi y RemotelyAnywhere. "También tenemos pruebas de que un actor de amenazas exfiltró una clave de cifrado para una parte de las copias de seguridad cifradas. La información afectada, que varía según el producto, puede incluir nombres de usuario de cuentas, contraseñas y hash, una parte de la configuración de la autenticación multifactor (MFA), así como algunos ajustes del producto e información de licencias. Además, aunque las bases de datos cifradas de Rescue y GoToMyPC no fueron filtradas, la configuración MFA de un pequeño subconjunto de sus clientes se vio afectada", escribió Srinivasan.
En el momento de escribir este artículo, Srinivasan afirmó que no había pruebas de que la filtración afectara a otros productos de GoTo distintos de los mencionados ni a ninguno de los sistemas de producción de GoTo. "Estamos contactando directamente con los clientes afectados para proporcionarles información adicional y recomendarles los pasos a seguir para proteger sus cuentas", añadió Srinivasan. "Aunque todas las contraseñas de las cuentas se han cifrado con sal y hash de acuerdo con las mejores prácticas, por precaución, también restableceremos las contraseñas de los usuarios afectados y/o volveremos a autorizar la configuración MFA cuando proceda. Además, estamos migrando sus cuentas a una Plataforma de Gestión de Identidades mejorada, que proporcionará seguridad adicional con opciones más robustas de autenticación y seguridad basada en el inicio de sesión".
27 de febrero del 2023: LastPass revela que uno de sus ingenieros DevOps fue hackeado
Una actualización de LastPass sobre su segunda brecha confirmó que estaba relacionada con el incidente inicial que terminó el 12 de agosto del 2022. La compañía afirmó que la conexión no era obvia porque las tácticas, técnicas y procedimientos (TTP) del atacante y los indicadores de compromiso (IOC) "no eran consistentes con los de la primera [brecha]".
El segundo ataque sí hizo uso de la información filtrada durante el incidente inicial: credenciales válidas de un ingeniero senior de DevOps que tenía acceso a un entorno de almacenamiento compartido en la nube. Esto dificultó la identificación de la actividad del atacante, ya que parecía legítima. Las alertas de AWS GuardDuty sí notificaron a LastPass un comportamiento anómalo después de que el atacante utilizara roles de gestión de acceso e identidad en la nube para actividades no autorizadas.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú