Justo cuando pensábamos que el hackeo de LastPass había quedado atrás, la empresa presentó un nueva actualización sobre su investigación de la brecha de seguridad. La actualización revela que los actores de la amenaza responsables del ataque no solo robaron los datos de los usuarios, incluidas las contraseñas, sino que también obtuvieron acceso a los servidores en la nube de Amazon AWS donde LastPass almacenó sus copias de seguridad y los datos de la bóveda cifrada.
Según LastPass, los actores de la amenaza se dirigieron a la computadora personal de un ingeniero de DevOps y explotaron una vulnerabilidad de seguridad en un paquete de software de medios de terceros. Esto permitió a los actores de amenazas ejecutar código remoto e instalar malware keylogger en la computadora del ingeniero. Con este acceso, capturaron la contraseña maestra del ingeniero, que se ingresó después de que el ingeniero se autenticara con autenticación multifactor (MFA).
Con la contraseña maestra, los actores de amenazas obtuvieron acceso a la bóveda corporativa de LastPass del ingeniero. Luego exportaron el contenido de la bóveda corporativa, obtuvieron notas seguras cifradas, acceso y claves de descifrado necesarias para acceder a varios recursos de almacenamiento basados en la nube, incluidas las copias de seguridad de producción de AWS S3 LastPass y algunas copias de seguridad de bases de datos críticas.
Respuesta de LastPass al ataque
En respuesta al ataque , LastPass ha tomado varias medidas para evitar futuras infracciones, incluida la asistencia al ingeniero para fortalecer la seguridad de su red, agregar la autenticación multifactorial de coincidencia de PIN de acceso condicional de Microsoft, rotar los certificados SAML críticos utilizados para el servicio interno y externo, y revocar los certificados obtenidos por los piratas informáticos. Además, la empresa también ha aconsejado a sus usuarios que cambien sus contraseñas almacenadas en la plataforma junto con su contraseña maestra para la bóveda de LastPass.
Sin embargo, este incidente sirve como un recordatorio de que incluso los sistemas más seguros no son completamente impermeable a los ataques cibernéticos. Es esencial seguir las mejores prácticas para la seguridad en línea, como usar contraseñas seguras y únicas, habilitar la autenticación de dos factores y mantener el software y los sistemas operativos actualizados. Y, para aquellos que tienen problemas para recordar sus contraseñas, un administrador de contraseñas como 1Password puede resultar útil.