El CEO de LastPass ha confirmado en un comunicado enviado a sus usuarios que el servicio ha sido hackeado. Según cuenta, hace dos semanas detectaron actividad extraña en partes del entorno de desarrollo.
La parte buen es que dice que, tras realizarse una investigación, no han encontrado pruebas que indiquen que los atacantes han accedido a datos de usuarios o a contraseñas cifradas. En una parte dedicada a preguntas y respuestas, la compañía asegura que no almacenan la Contraseña Maestra, y que por tanto no se han visto afectadas en la brecha.
Las empresas de los gestores de contraseñas sufren el mismo problema que cualquier usuario
Por mucha seguridad que exista, hay numerosos incidentes como este de LastPass que tienen que ver con ingeniería social y descuidos. En este caso, desde LastPass mencionan que el acceso se produjo porque una única cuenta de desarrollador había sido comprometida, aunque no han mencionado si en el ataque para conseguirla detectaron phishing u otras técnicas.
Pese a que los datos de los usuarios no se han visto afectados de acuerdo al comunicado, los atacantes sí se hicieron con partes del código fuente y alguna información técnica de LastPass, aunque tampoco detallan cómo podría afectar a la actividad de la empresa. Mientras la investigación continúa su curso, están llevando a cabo nuevas medidas y han logrado un "estado de contención". Por el momento dicen no haber encontrado más indicios de actividad sospechosa.
En cuanto a los usuarios y administradores, desde LastPass recomiendan no hacer nada más allá que seguir las prácticas recomendadas desde siempre. Pero al no haberse sustraído información de los usuarios ni contraseñas, indican que no es necesario ni un paso extra.
Además, reiteran que con su modelo de conocimiento cero, solo el cliente tiene datos para descifrar datos de la bóveda. En 2015, LastPass ya fue hackeado, y aquella vez sí pudieron obtener el hash de autenticación.
Ver 37 comentarios
37 comentarios
valtheoni
Un repositorio de contraseñas online es un objetivo demasiado goloso para los hackers como para confiar en él.
dsa10
A ver, asustaviejas (pa variar). Aunque hackeen LastPass hasta la cocina, los datos de los usuarios están cifrados con una contraseña que sólo tiene el propio usuario. LastPass no puede ver las contraseñas en claro de nadie aunque quiera.
mufaza
Con llaveros de macOS voy más que sobrado y sin tener que recurrir a aplicaciones chorras "gratis" de terceros .
serkam
Yo uso Lastpass y estoy muy contento. Que sea online no significa que el acceso de un hacker a tus claves sea sencillo. Si Lastpass no guarda las claves de acceso maestras, las claves que usas son fuertes y además añades un nivel más de seguridad como doble factor de autenticación, difícil lo lleva el hacker que quiera acceder a tus claves
Funkse
yo también uso keepass, hice este curso que me enseño bastantes cosas y tenerlo accesible desde el móvil
https://www.udemy.com/course/examenes-itil-foundations-v4-espanol/?referralCode=98AB05B42E3D61F20661
falconx
Keepass
nexus_moon
En comparación con Bitwarden, cuál es mejor y/o más segura?
sirdrak
El mejor gestor de contraseñas una libreta y un lápiz... Como no tengan acceso físico a ella más seguras no pueden estar.
Tron
Es una pesima decision guardar las contraseñas en una aplicacion online, a pesar de las insistentes recomendaciones vertidas aqui. Es un factor de riesgo añadido.
De hecho, sin ser tan drasticamente peligroso, es una pesima decision usar la mayoria de las mil y una monerias y cacharros conectados que se promocionan por aqui. Aparte de los problemas de privacidad y seguridad, lo mas probable que es que se conviertan en un pisapapeles mas pronto que tarde.
silverstyle
Gestor de contraseñas de Google, mano de santo.