LastPass es un administrador de contraseñas popular que ha sufrido más que su parte justa de filtraciones de datos. Ahora ha salido a la luz información sobre la última violación de datos de LastPass que nuestro propio John Durso informó aquí en diciembre: LastPass Hacker Gets Vault Data
Aparentemente, la PC de un empleado que trabaja desde casa se vio comprometida a través de un vulnerabilidad en un reproductor multimedia de terceros, que se aprovechó para implementar un registrador de pulsaciones de teclas. Una vez que se implementó el keylogger, era solo cuestión de tiempo hasta que el empleado iniciara sesión con sus credenciales oficiales y, ¡bingo!, el hacker tenía todo lo que necesitaba para acceder a la bóveda corporativa del empleado. El siguiente es un extracto del informe de LastPass:
El actor de la amenaza apuntó a la PC remota de un ingeniero senior de DevOps al explotar software vulnerable de terceros. El actor de amenazas aprovechó la vulnerabilidad para entregar malware, eludir los controles existentes y, en última instancia, obtener acceso no autorizado a las copias de seguridad en la nube. Los datos a los que se accedió desde esas copias de seguridad incluían datos de configuración del sistema, secretos de API, secretos de integración de terceros y datos de clientes de LastPass cifrados y no cifrados ~ <fuente>
Como he repetido muchas veces, para poder distribuirse con éxito, la mayoría de los programas maliciosos requieren algún tipo de acción inadvertida por parte del usuario, y en entornos corporativos que involucran múltiples computadoras en red operadas por múltiples usuarios, ese riesgo es elevado sin fin. Aunque la bóveda de LastPass no fue violada directamente, es notable pensar que los empleados remotos no están mejor educados para evitar este tipo de violaciones de terceros. De hecho, es inconcebible que lo que es esencialmente una PC de trabajo, incluido el material altamente confidencial, no se mantenga completamente separado de los requisitos personales del empleado.
LastPass ha declarado que ahora está en proceso de fortalecer el DevOps seguridad de la red doméstica del ingeniero. Si bien ese es sin duda un paso en la dirección correcta, seguramente a este tipo de empleados que trabajan desde casa con información confidencial se les debe ordenar que mantengan dos PC completamente separadas, una SOLO para requisitos laborales y otra para uso personal.
Qué deben hacer los usuarios de LastPass
Si es usuario de LastPass y ya ha tomado medidas correctivas según Boletín de LastPass, todo está bien. Sin embargo, si acaba de enterarse de esto ahora, debe seguir los consejos de John Durso de su artículo anterior:
Cambie la contraseña maestra de LastPassActive la autenticación multifactor de LastPass si no está activadaCambie todas las contraseñas críticas de sitios web (correo electrónico, instituciones financieras, tarjetas de crédito, etc.)
Manténgase seguro ahí fuera.
—