La cabeza alta, Ultimo pase los titulares de cuentas. Detallada en una publicación de blog esta semana, se publica nueva información que se relaciona con un ataque que tuvo lugar a principios de este año. En ese momento, la piratería no era realmente de interés para nosotros (solo somos un blog de Android), porque LastPass dijo que un pirata informático acababa de tener acceso a un entorno de prueba para desarrolladores y alguna fuente de código. Sin embargo, debido a este ataque, recientemente tuvo lugar un evento posterior en el que el pirata informático pudo comprometer la cuenta de un empleado de LassPass y obtener acceso a mucho más.
Como detalló LastPass, alguien pudo acceder a copias de seguridad encriptadas de los datos de la bóveda del cliente. Esta bóveda de datos contiene todo lo que un usuario puede almacenar con el servicio. Estamos hablando de nombres de usuario de cuentas, contraseñas, información bancaria y todo lo demás. Para un hacker, podría ser la veta madre.
Según LastPass, estas bóvedas están encriptadas con gran seguridad, lo que significa que nada debería poder acceder a estos datos robados, excepto la contraseña maestra de un usuario. Afortunadamente, LastPass no almacena estas contraseñas maestras, por lo que siempre que el pirata informático no pueda ingresar a la bóveda mediante la fuerza bruta (adivinando una contraseña correcta), la mayoría de los datos confidenciales del usuario deben permanecer seguros.
No soy un experto en seguridad, así que dejaré que LastPass explique mejor lo que está pasando.
Hasta la fecha, hemos determinado que después de obtener la clave de acceso al almacenamiento en la nube y las claves de descifrado del contenedor de almacenamiento doble, el atacante copió información de la copia de seguridad que contiene información de la cuenta del cliente y los metadatos asociados, incluidos los nombres de las empresas, los nombres de los usuarios finales, las direcciones de facturación y las direcciones de correo electrónico. , números de teléfono y direcciones IP desde las que los clientes accedieron al Servicio de LastPass.
El actor de amenazas también pudo copiar una copia de seguridad de los datos de Client Vault desde el contenedor de almacenamiento cifrado que se almacena en un formato binario patentado que contiene datos no cifrados, como las URL del sitio web, así como campos confidenciales totalmente cifrados como el sitio web. nombres de usuario y contraseñas, notas seguras y datos rellenados de formularios. Estos campos cifrados permanecen seguros con el cifrado AES de 256 bits y solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario mediante nuestra arquitectura Zero Knowledge. Como recordatorio, LastPass nunca conoce la contraseña maestra y LastPass no la almacena ni la mantiene. El cifrado y descifrado de datos se realiza solo en el cliente local de LastPass.
No hay evidencia de que se haya accedido a datos de tarjetas de crédito sin cifrar. LastPass no almacena números completos de tarjetas de crédito y la información de las tarjetas de crédito no se archiva en este entorno de almacenamiento en la nube.
que debes hacer
Siempre que un usuario de LastPass utilice las prácticas recomendadas de la empresa para seleccionar una contraseña maestra, la empresa afirma que le llevaría «millones de años adivinar su contraseña maestra utilizando la tecnología, generalmente disponible para descifrar contraseñas». Es reconfortante. Sin embargo, si está un poco preocupado por su información, es posible que desee comenzar a cambiar sus contraseñas. Eso es si quieres estar demasiado seguro.
Para obtener más información sobre lo que sucedió y qué está haciendo LastPass al respecto, siga el enlace a continuación.
// Ultimo pase
