El administrador de contraseña LastPass confirmó este miércoles que sufrió un incidente de seguridad. Se trata del segundo incidente en lo que va del año.
En esta oportunidad, un actor no autorizado logró acceder a información de clientes utilizando información que se obtuvo en el incidente de Agosto de 2022. La actividad inusual se detectó en un servicio de almacenamiento en la nube de terceros que LastPass comparte con su afiliado GoTo.
Por su parte, el CEO de la compañía, Karim Toubba, confirmó que esta actividad inusual no afectó a las contraseñas de clientes y que las mismas se mantienen protegidas: “Las contraseñas de nuestros clientes están protegidas y cifradas gracias a la arquitectura Zero Knowledge de LastPass”.
We recently detected unusual activity within a third-party cloud storage service, which is currently shared by both LastPass and its affiliate GoTo. Customer passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture. More info: https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK
— LastPass (@LastPass) November 30, 2022
Actualmente continúan investigando junto a una empresa de ciberseguridad lo ocurrido para comprender el alcance del incidente e identificar a qué tipo de información tuvo acceso el atacante. Asimismo, ya reportaron a las fuerzas de seguridad lo ocurrido.
El segundo incidente que sufre LastPass en lo que va de 2022
En agosto de este año el popular administrador de contraseñas LastPass sufrió otro incidente de seguridad. En esa oportunidad un tercero no autorizado tuvo acceso durante cuatro días hasta a su entorno de desarrollo tras comprometer la cuenta de un desarrollador. El incidente permitió el robo de una porción de su código fuente y de información técnica de su propiedad.
Lectura recomendada: Por qué el código fuente es atractivo para los cibercriminales
El acceso al código fuente puede derivar en el hallazgo de vulnerabilidades en un desarrollo y en la exposición de otro tipo de información que puede afectar la reputación de las víctimas o ser aprovechada para realizar otro tipo de acciones maliciosas.
Recordemos que LastPass es un gestor de contraseñas utilizado por más de 30 millones de personas en el mundo para gestionar las credenciales de acceso a los distintos servicios en línea. Como hemos explicado en reiteradas oportunidades a la hora de hablar de las buenas prácticas de seguridad que se recomiendan a las personas, los gestores o administradores de contraseñas son herramientas muy recomendadas ya contribuyen a que las personas cumplan con ciertos hábitos de seguridad fundamentales: que creen contraseñas fuertes y únicas para cada servicio o cuenta en línea.
Lectura recomendada: Qué es un administrador de contraseñas y cómo elegir uno