palma de la mano: LastPass, uno de los servicios de suministro de contraseñas más populares, fue violado en agosto pasado. La compañía ahora dice que el daño causado por los piratas informáticos desconocidos es mucho peor de lo que se evaluó inicialmente. Los usuarios deben cambiar sus contraseñas lo ayer posible.
En el documentación diferente sobre el incidente de violación de datos descubierto en agosto, LastPass dijo que “solo” el código fuente de la empresa y la información propietaria estaban comprometidos. Los datos y las contraseñas de los usuarios permanecieron seguros y sin mancha. Ahora, un aviso de seguridad de seguimiento sobre ese mismo incidente dice lo contrario: los actores maliciosos todavía pudieron obtener a los datos de algunos usuarios.
Los piratas informáticos de sombrero enfadado obtuvieron la esencia de llegada al almacenamiento en la cirro y las claves de descifrado del contenedor de almacenamiento dual, dice LastPass. Con las claves robadas, pudieron comprometer aún más la seguridad de la plataforma al copiar una copia de seguridad que contenía “información básica de la cuenta del cliente y metadatos relacionados, incluidos los nombres de las empresas, los nombres de los usuarios finales, las direcciones de facturación, las direcciones de correo electrónico, los números de teléfono y las direcciones IP”. desde donde los clientes accedían al servicio de LastPass”.
Los ciberdelincuentes todavía pudieron copiar una copia de seguridad de los datos de la cúpula del cliente desde el contenedor de almacenamiento enigmático, que se almacena en un formato binario patentado. El contenedor incluye datos sin compendiar, como URL de sitios web, así como campos confidenciales totalmente cifrados, como nombres de favorecido y contraseñas de sitios web, notas seguras y datos rellenados en formularios.
Sin retención, dijo LastPass, los campos cifrados “permanecen seguros” incluso cuando están en manos de los ciberdelincuentes, ya que se generaron con un cálculo de enigmático basado en AES de 256 bits y “solo se pueden descifrar con una esencia de enigmático única derivada de la contraseña de cada favorecido”. contraseña maestra utilizando nuestra edificación Zero Knowledge”. Zero Knowledge significa que LastPass no conoce la contraseña maestra necesaria para descifrar los datos, mientras que el descifrado en sí se realiza solo en el cliente regional de LastPass y nunca en tangente.
En cuanto a los datos de tarjetas de crédito, LastPass los almacena parcialmente en un entorno de cirro diferente. Y no hay indicios de que se haya accedido a dichos datos, al menos hasta ahora. A fin de cuentas, LastPass está tratando de expedir el mensaje de que, a pesar de la violación extendida de la plataforma de la compañía, los datos encriptados de los usuarios aún deberían estar a exceptuado de cualquier intento nefasto.
Sin retención, eso no es como sostener que no hay riesgos o peligros derivados de la brecha. Un actor taimado muy determinado podría intentar forzar las contraseñas cifradas por la fuerza bruta, dice LastPass, aunque el intento sería “extremadamente difícil” ya que la compañía prueba rutinariamente “las últimas tecnologías de descifrado de contraseñas contra nuestros algoritmos para persistir el ritmo y mejorar nuestros controles criptográficos”.
Podría tener riesgos adicionales relacionados con ataques de phishing o ataques de fuerza bruta contra cuentas en tangente asociadas con las bóvedas de LastPass de los usuarios. En este caso, LastPass señaló que nunca llamarán, enviarán correos electrónicos o mensajes de texto a un favorecido para pedirle que haga clic en un enlace para efectuar su información personal. Siquiera preguntarán nunca por la contraseña maestra de una cúpula. Como medida de seguridad extrema, se recomienda a los usuarios del administrador de contraseñas en tangente que cambien su contraseña maestra y todas las contraseñas almacenadas en la cúpula de todos modos.