LastPass dice que no hay violación de datos, por lo que sus contraseñas no fueron pirateadas

LastPass es una aplicación de gestión de contraseñas, el tipo de aplicación de seguridad que siempre recomendamos a las personas que utilicen para aumentar la seguridad de sus contraseñas. Estos servicios pueden almacenar todas sus contraseñas y ayudarlo a elegir contraseñas únicas para cada cuenta en línea. Todo lo que necesita recordar es una contraseña segura. Esto le permite iniciar sesión rápidamente en cualquier cuenta en línea cuyas credenciales haya guardado en su cuenta. Pero si un administrador de contraseñas sufriera una violación de datos, entonces un atacante podría obtener acceso a todas las demás contraseñas. Ese es el tipo de escenario que los usuarios de LastPass han temido desde el martes por la tarde cuando surgieron informes que indicaban una posible violación de datos. Sin embargo, LastPass dice que no sufrió un ataque y los atacantes no tienen acceso a su contraseña maestra ni a las contraseñas de su cuenta.

El susto de la filtración de datos de LastPass

Todo comenzó con una publicación en HackerNews. Un usuario dijo que LastPass bloqueó un intento de inicio de sesión desde Brasil. Según un correo electrónico de LastPass, los piratas informáticos utilizaron la contraseña maestra de la cuenta de LastPass.

«Lo que me preocupa es que la contraseña maestra se almacenó en un archivo KeePassX cifrado local», escribió la persona. “Me imagino que alguien tiene mi archivo KeePassX y la contraseña (completamente diferente) de este archivo. Si ese es el caso, estoy en un mundo de dolor «.

LastPass luego confirmó el intento de violación de la cuenta, por lo que el correo electrónico que recibió la víctima no fue un ataque de phishing. Además, otros usuarios del foro experimentaron el mismo tipo de ataque.

Esto generó preocupaciones de que LastPass sufriera un ataque que podría haber expuesto las cuentas de los usuarios. Tal violación de datos sería de hecho un escenario de pesadilla para cualquiera que use una contraseña para proteger sus cuentas en línea.

LastPass no sufrió un hack masivo de contraseñas

Sin embargo, eso no es lo que sucedió, según la compañía. En comentarios a Gizmodo y Apple Insider, LastPass niega un hack. En cambio, la compañía dice que los atacantes que intentan violar cuentas están utilizando combinaciones de nombre de usuario y contraseña de otras violaciones de datos. Aquí está la declaración de LastPass:

LastPass investigó informes recientes de intentos de inicio de sesión bloqueados y creemos que la actividad está relacionada con un intento de actividad de ‘relleno de credenciales’, en la que un actor malintencionado o malintencionado intenta acceder a las cuentas de usuario (en este caso, LastPass) utilizando direcciones de correo electrónico y contraseñas obtenidas de terceros. -incumplimientos de terceros relacionados con otros servicios no afiliados.

Además, LastPass dijo que no ha visto ninguna evidencia de piratería real. Los atacantes no piratearon las cuentas de usuario de LastPass, explicó la compañía:

Es importante tener en cuenta que, en este momento, no tenemos ninguna indicación de que se haya accedido correctamente a las cuentas o de que el servicio LastPass haya sido comprometido por una parte no autorizada. Controlamos regularmente este tipo de actividad y continuaremos tomando medidas diseñadas para garantizar que LastPass, sus usuarios y sus datos permanezcan protegidos y seguros.

Más buenas noticias sobre la seguridad de la contraseña maestra

En comentarios a The Verge, LastPass explicó que algunas de las alertas eran errores debido a un problema que resolvió:

Desde entonces, nuestra investigación descubrió que algunas de estas alertas de seguridad, que se enviaron a un subconjunto limitado de usuarios de LastPass, probablemente se activaron por error. Como resultado, hemos ajustado nuestros sistemas de alerta de seguridad y desde entonces este problema se ha resuelto.

Estas alertas se activaron debido a los esfuerzos continuos de LastPass para defender a sus clientes de los malos actores y los intentos de relleno de credenciales.

Además, LastPass también dice que la aplicación no almacena la contraseña maestra del usuario. Como resultado, un hack de LastPass no daría lugar a que los atacantes obtengan acceso a las contraseñas maestras:

También es importante reiterar que el modelo de seguridad de conocimiento cero de LastPass significa que en ningún momento LastPass almacena, tiene conocimiento o acceso a la (s) contraseña (s) maestra (s) de un usuario.

Todas esas son buenas noticias. Pero los usuarios de LastPass que podrían haber recibido advertencias sobre posibles intentos de acceso a cuentas de terceros aún pueden estar preocupados. Si recibió uno de estos correos electrónicos de LastPass, debería considerar cambiar su contraseña maestra. También querrá verificar sus cuentas confidenciales que almacena en LastPass para detectar actividad no autorizada. También es una buena idea cambiar las contraseñas de esos servicios de vez en cuando.

Además, debe considerar agregar autenticación de dos factores a LastPass y otras cuentas confidenciales.

Si nada puede tranquilizarlo, puede considerar migrar sus contraseñas a servicios de la competencia. 1Password es una de esas alternativas, pero hay otros administradores de contraseñas para elegir.