AppleInsider puede ganar una comisión de afiliado en las compras realizadas a través de enlaces en nuestro sitio.
LastPass informa a los usuarios de que la violación de datos de agosto dio a los hackers acceso a los nombres, direcciones y bóvedas de datos de contraseñas cifradas de los usuarios.
El 30 de noviembre, LastPass notificó a los usuarios que estaba investigando un “incidente de seguridad” de agosto que había provocado el robo de datos de los usuarios.
Ahora, el CEO de LastPass, Karim Toubba, ha publicado un blog en el que informa a los usuarios del alcance de lo robado.
“Hasta la fecha, hemos determinado que una vez que se obtuvieron la clave de acceso al almacenamiento en la nube y las claves de descifrado del contenedor de almacenamiento dual, el actor de la amenaza copió información de la copia de seguridad que contenía información básica de la cuenta del cliente y metadatos relacionados, incluidos nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedían al servicio LastPass”, se lee en la entrada del blog.
El hacker también creó una copia de los datos de la bóveda del cliente, que la compañía sostiene que “se almacena en un formato binario propietario.” Algunos datos del almacén, como las URL de los sitios web, no están cifrados. Otros datos, como los nombres de usuario y las contraseñas, están “protegidos con un cifrado AES de 256 bits” que, según la empresa, no puede ser descifrado por piratas informáticos;
“[Encrypted data] sólo pueden ser descifradas con una clave de cifrado única derivada de la contraseña maestra de cada usuario utilizando nuestra arquitectura Zero Knowledge”, escribe Toubba. “Como recordatorio, la contraseña maestra nunca es conocida por LastPass y no es almacenada ni mantenida por LastPass.”
Aunque la compañía afirma que sería muy poco probable que los hackers pudieran descifrar los datos, advierte a los usuarios de que podrían ser blanco de ataques de phishing o ingeniería social.
LastPass ha sido objeto de críticas por prácticas de seguridad cuestionables en el pasado.
En diciembre de 2021, los miembros de LastPass informaron de múltiples intentos de inicio de sesión utilizando contraseñas maestras correctas desde varios lugares. La compañía aseguró a los clientes que los ataques eran el resultado de contraseñas filtradas en brechas de terceros.