Justo cuando pensábamos que el hackeo de LastPass había terminado, la compañía publicó otra actualización sobre su investigación sobre la brecha de seguridad. La actualización revela que los actores de la amenaza responsables del ataque no solo robaron los datos de los usuarios, incluidas las contraseñas, sino que también obtuvieron acceso a los servidores en la nube de Amazon AWS, donde LastPass almacenó sus copias de seguridad y los datos de la bóveda cifrada.
Según LastPass, los atacantes se dirigieron a la computadora personal de un ingeniero de DevOps y explotaron una vulnerabilidad en un paquete de software de medios de terceros. Esto permitió a los actores de amenazas ejecutar código remoto e instalar malware keylogger en la computadora del ingeniero. Usando este acceso, capturaron la contraseña maestra del técnico, que se ingresó después de que el técnico se autenticara con autenticación multifactor (MFA).
La contraseña maestra permitió a los actores de amenazas acceder a la bóveda de la empresa LastPass del ingeniero. Luego exportaron el contenido de la bóveda de la empresa, obtuvieron notas seguras cifradas, acceso y claves de descifrado necesarias para acceder a varios recursos de almacenamiento basados en la nube, incluidas las copias de seguridad de producción de AWS S3 LastPass y algunas copias de seguridad de bases de datos críticas.
Respuesta de LastPass al ataque
En respuesta al ataque, LastPass tomó varias medidas para evitar futuras infracciones, incluida la ayuda al ingeniero para fortalecer la seguridad de su red, agregar la autenticación multifactorial de coincidencia de PIN de acceso condicional de Microsoft, rotar los certificados SAML críticos que se usan para el servicio interno y externo, y revocación de certificados obtenidos por los hackers. Además, la compañía también ha aconsejado a sus usuarios que cambien sus contraseñas almacenadas en la plataforma junto con su contraseña maestra de la bóveda de LastPass.
Sin embargo, este incidente es un recordatorio de que incluso los sistemas más seguros no son completamente inmunes a los ciberataques. Es esencial seguir las mejores prácticas de seguridad en línea, como usar contraseñas seguras y únicas, habilitar la autenticación de dos factores y mantener el software y los sistemas operativos actualizados. Y para aquellos que tienen problemas para recordar sus contraseñas, un administrador de contraseñas como 1Password puede resultar útil.
