¿Cómo obtuvieron los piratas informáticos acceso a la bóveda segura de datos de los clientes de LastPass? En una publicación de blog, el administrador de contraseñas escribe que la culpa es de una computadora doméstica insegura.
Los piratas informáticos obtuvieron acceso a las claves de descifrado de las bóvedas que contienen datos de clientes a través de la computadora personal de un ingeniero de DevOps. LastPass explica que en un entrada en el blog. El ataque al empleado dio a los piratas informáticos acceso, entre otras cosas, a los nombres, direcciones de correo electrónico, direcciones de facturación, números de teléfono y direcciones IP de los clientes. Además, los piratas informáticos obtuvieron acceso a bóvedas de contraseñas (cifradas), notas y nombres de usuario de los clientes de LastPass.
El ataque se realizó en 2 pasos.
Antes de que los piratas informáticos obtuvieran acceso a esos datos, ya se accedió al entorno de desarrollo de LastPass en agosto. En ese momento, el administrador de contraseñas informó que en ese ataque solo se robó el código fuente y la información técnica del servicio. El último mensaje cambia esa conclusión: en el entorno de desarrollo, los piratas informáticos también encontraron los datos de inicio de sesión y las claves para acceder al entorno de nube S3 de la empresa. LastPass almacenó copias de seguridad bloqueadas de los datos de los clientes a través del entorno de la nube.
Durante un segundo incidente de seguridad, que tuvo lugar entre el 12 de agosto y el 26 de octubre, los piratas informáticos consiguieron esas copias de seguridad cifradas. Si bien los piratas informáticos tuvieron acceso al entorno de la nube con las credenciales del primer ataque, los sistemas de almacenamiento en la nube AWS S3 contienen una capa adicional de seguridad. Una capa de seguridad que los piratas informáticos no habían superado con el primer ataque de agosto.
Computadora doméstica comprometida
Para acceder al almacenamiento en la nube, un empleado del equipo DevOps fue atacado. Antes de ese ataque, se aprovechó una vulnerabilidad en un reproductor multimedia en la computadora personal del empleado de LastPass. En el ataque, el atacante instaló el llamado malware keylogger para registrar las contraseñas introducidas. Como resultado, se interceptaron tanto la contraseña maestra como el código 2FA del empleado. Poco después de que se interceptaran los datos, el atacante obtuvo acceso a la bóveda cifrada.
Llama la atención que el almacenamiento seguro en la nube de S3 también contuviera inmediatamente las claves de descifrado para desbloquear las bóvedas seguras. La empresa afirma que esas claves se almacenaron en notas seguras. No se sabe con qué fuerza había asegurado esos billetes.
Críticas a la política de seguridad de LastPass
LastPass ha sido criticado por expertos en seguridad desde que se anunciaron los ataques. Según los expertos, la empresa está intentando ocultar el incidente bajo la alfombra y los comentarios de la empresa sobre las bóvedas de contraseñas filtradas pueden calificarse de “casuales”. La empresa declaró a finales de diciembre que sus bóvedas de contraseñas ‘irrompible’ y que los clientes no tengan que preocuparse por esto.
