Agencias/Ciudad de México.- LastPass ha compartido las conclusiones de la investigación que inició por el hackeo que afectó a sus sistemas en agosto, y reiterado que no ha afectado a los datos de los usuarios de la aplicación ni a la bóveda de contraseña encriptadas, ya que se limitó al entorno de desarrollo.
Los sistemas de la compañía detectaron el acceso de un actor malicioso en agosto, cuya actividad se limita a un periodo de cuatro días, como ha compartido la compañía en una actualización sobre la investigación iniciada en agosto.
En esos cuatro días, el actor malicioso pudo acceder al entorno de desarrollo a través de un equipo comprometido, que es un entorno distinto y separado del de Producción y no contiene los datos de usuario ni la bóveda de contraseña encriptadas.
While LastPass might be a bad password manager, still have to give props to great incident response and write-up: https://t.co/aJyczKjFhd
— Trafotin (@trafotin) September 21, 2022
LastPass señala que el método por el que este actor logró acceder al entorno de desarrollo “no es concluyente”, pero que saben que utilizó “su acceso persistente para hacerse pasar por el desarrollador una vez que el desarrollador se había autenticado correctamente mediante la autenticación multifactor.
La compañía ha tranquilizado a los usuarios de su servicio de gestión de contraseñas, asegurando que ni ellos mismos tienen acceso a las contraseñas maestras de las bóvedas. También han implementado controles de seguridad adicionales.
Toubba asegura que no hay evidencia de que este incidente haya afectado a los datos de los usuarios de la aplicación ni a la bóveda de contraseña encriptadas. “Nuestro modelo de conocimiento cero garantiza que solo el cliente tenga acceso para descifrar los datos de la bóveda”, detalla.
La investigación que siguió a este hecho determinó la existencia de una cuenta de usuario comprometida que facilitó el acceso y la obtención de “partes del código fuente y cierta información técnica patentada de LastPass”.
For those who use LastPass as a password manager, please read their latest update here: https://t.co/VFuT04xyIW
Please rest assured knowing the threat actor was not able to gain any customer information or encrypted vaults. pic.twitter.com/MnKu925fZe
— HI Tech Hui (@hitechhui) September 21, 2022
