Brecha De Seguridad En LastPass Permite Acceso A Parte De Su Código Fuente
Hace dos semanas, la empresa GoTo (anteriormente LogMeIn) ha sufrido una brecha de seguridad en su popular gestor de contraseñas, LastPass. Posteriormente, Karim Toubba, CEO de LastPass, emitió un comunicado a través del blog de este servicio el jueves pasado, día 25.
Incidente y aftermath
La brecha permitió al atacante acceder a partes del entorno de desarrollo del servicio «a través de una cuenta de un desarrollador que ha sido comprometida». Mediante esta cuenta ha sido posible acceder a partes del código fuente y ciertos detalles técnicos de LastPass.
No obstante, el comunicado afirma que no existe evidencia de que mediante este incidente el atacante haya podido acceder a datos de los usuarios del programa o sus contraseñas. Esto se debe a su modelo de conocimiento nulo, que garantiza que los datos de cada cliente puedan ser accedidos únicamente por él mismo y, en ningún caso, por el propio equipo de desarrollo de LastPass o terceros.
Asimismo, Toubba también indica que en respuesta al incidente se han activado medidas de contención y mitigación a la vez que se ha contratado una importante agencia de ciberseguridad e informática forense.
«Durante nuestra investigación, hemos alcanzado un estado de contención e implementado medidas de seguridad adicionales, y ya no encontramos más evidencias de actividad no autorizada.»
Karim Toubba (CEO de LastPass)
Repercusiones a los usuarios de LastPass
Por ahora, GoTo no ha requerido a sus más de 33 millones de usuarios (véase sitio web oficial) ninguna acción en sus respectivas cuentas, ya que la empresa afirma que sus «productos y servicios funcionan normalmente».
Antecedentes
Sin embargo, este no es el primer incidente de seguridad relacionado con LastPass. Ya en junio de 2015 (antes de su adquisición por LogMeIn en octubre del mismo año), una intrusión en la red interna de LastPass obligó a los usuarios a cambiar sus contraseñas maestras lo antes posible.
En cualquier caso, ya es preocupante el hecho de que atacantes pudiesen acceder a detalles técnicos de la implementación de LastPass, pues pueden haber encontrado vulnerabilidades o indicios de las mismas en el gestor de contraseñas.
Fuentes:
- https://blog.lastpass.com/2022/08/notice-of-recent-security-incident/
- https://www.europapress.es/portaltic/ciberseguridad/noticia-lastpass-confirma-brecha-seguridad-no-afecta-credenciales-guardadas-usuarios-20220826113753.html
- https://www.genbeta.com/actualidad/hackean-lastpass-gestor-contrasenas-popular-mercado-roban-parte-codigo-fuente-programa
- https://thehackernews.com/2022/08/hackers-breach-lastpass-developer.html
Via: unaaldia.hispasec.com