mayo 20, 2024

empresa de seguridad informatica Ultimo pase confirmó que la brecha de seguridad reportada en agosto, mediante la cual se detectó que un tercero había accedido a su entorno de desarrollo, resultó en el robo de datos cifrados incluidos en las bóvedas de sus clientes.

LastPass es un administrador de contraseñas que almacena todas las nombres de usuario y contraseñas en un ambiente protegido, llamado bóveda. Esta es la columna vertebral de todos los datos almacenados, por lo que tan pronto como el servicio guarde una contraseña, siempre la recordará cuando inicie sesión en una página web.

En agosto, este administrador de contraseñas en línea informó un incidente de seguridad mediante el cual un tercero accedió a su entorno de desarrollo, sin afectar los datos o credenciales guardados por los usuarios.

Sin embargo, la compañía publicó una actualización sobre este caso. Aunque había afirmado que la información personal de los usuarios no se había visto comprometida, confirmó que el atacante aprovechó esa brecha de seguridad para robar parte de su código e información técnica y acceder a la información almacenada en su servicio de almacenamiento en la nube.

De hecho, este malicioso accedió a esa información del cliente y llegó a realizar un copia de la copia de seguridad en la nube existente. Esta copia de seguridad contenía información básica de la cuenta del cliente.

Entre los datos robados se encontraban nombres de empresas y usuarios, direcciones de facturación, direcciones de correo electrónico, números de teléfono e incluso direcciones IP desde donde los clientes accedían al servicio LastPass, informó la empresa en un comunicado.

LastPass es un administrador de contraseñas que almacena todos los nombres de usuario y contraseñas en un entorno protegido, llamado bóveda.

LastPass es un administrador de contraseñas que almacena todos los nombres de usuario y contraseñas en un entorno protegido, llamado bóveda.

Acceso a datos encriptados

La compañía indicó que los piratas informáticos pudieron hacer una copia de la copia de seguridad de los datos de la bóveda de los clientes. También acordaron datos sin cifrar como las URL de sus sitios web.

También tenía acceso a datos «totalmente encriptados» y confidenciales, como nombres de usuario del sitio webcontraseñas, notas seguras y formularios completados.

El administrador de contraseñas insistió en que estos campos estén encriptados y permanezcan protegidos con Cifrado AES de 256 bitsun sistema que garantiza que, a pesar de haber sido robados, no pueden ser utilizados.

“Solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario”, señaló la empresa, que enfatizó que una clave de cifrado única que depende de la contraseña maestra y se obtiene a través de su arquitectura Conocimiento cero.

LastPass comunicó que «no hay evidencia» de que se haya accedido a datos de tarjetas de crédito sin cifrar, y adelantó que su sistema no almacena números completos de tarjetas de crédito. La información de la tarjeta del cliente no se archiva en este entorno de almacenamiento en la nube.

LastPass insistió en que incluso si los ciberdelincuentes «intentaran usar la fuerza bruta» para adivinar las contraseñas maestras y descifrar los datos en las bóvedas de los clientes, «sería extremadamente difícil» debido a los métodos de «hash» y el cifrado utilizado por la empresa.

El intruso tuvo acceso a los datos.

El intruso tenía acceso a datos confidenciales y «totalmente encriptados», como los nombres de usuario de LastPass.

Recomendaciones de LastPass

«Probamos rutinariamente las últimas tecnologías de descifrado de contraseñas contra nuestros algoritmos para mantenernos al día y mejorar nuestros controles criptográficos», dijo el CEO de LastPass, Karim Toubbaen la declaración.

Debido a este error, Toubba alertó a los clientes de que los delincuentes podrían lanzar «suplantación de identidad» para descifrar los datos robados a los que no puede acceder debido al sistema de protección.

Indicó que la empresa nunca contactará a sus clientes por teléfono, correo electrónico o mensaje de texto en el que se les solicita que verifiquen su información personal a través de un enlace.

Animó a sus clientes a cambiar su contraseña maestra actual de LastPass para obtener una contraseña nueva y única. Indicó que es importante no utilizar esa credencial en otros sitios web bajo ninguna circunstancia.

Toubba dijo que la empresa tomará precauciones para evitar ataques de estas características en el futuro. Destacó que agregaron capacidades adicionales de registro y alerta para ayudar a detectar actividades no autorizadas y que se fortalecieron los mecanismos de autenticación de los desarrolladores.


Continuar leyendo este Titular: LastPass confirma graves daños por brecha de seguridad

Tags:

Titulares relacionados

Las criptomonedas meme resisten corrección; traders buscan preventas lucrativas

abril 16, 2024

Qué celulares sirven para cargar la tarjeta SUBE sin necesidad de validarla

abril 16, 2024

titulares recomendados

Se oficializó la compra de 24 aeronaves y Javier Milei participó de forma virtual

abril 17, 2024

Ola de calor en CDMX; esta es la FECHA que terminan las temperaturas récord en abril

abril 17, 2024

SAT advierte por trámite OBLIGATORIO en mayo tras presentar declaración anual de impuestos

abril 17, 2024

Camioneros y Gobierno "fumaron la pipa de la paz"

abril 17, 2024

¿Cuándo se celebra el Día de la Madre este 2024 en Chile?

abril 16, 2024

Esta es la COLECCIÓN de billetes de 50 pesos del ajolote por la que dan hasta 5 millones

abril 16, 2024