LastPass dice que los piratas informáticos tomaron «partes del código fuente»
noticias de seguridad
José F. Kovar
Alguien pasó por alto la seguridad utilizada por LastPass para asegurar las contraseñas de los usuarios para recuperar parte del código fuente de la empresa en su entorno de desarrollo, pero parece no haber accedido a las contraseñas ni a la información personal de los clientes, dijo el CEO de la empresa, Karim Toubba, en un informe de incidente de seguridad en línea. .
El desarrollador de la tecnología de administración de contraseñas LastPass dijo el jueves que su entorno de desarrollo había sido pirateado, lo que resultó en el robo de partes de su código fuente.
Sin embargo, la empresa con sede en Boston, cuya tecnología es utilizada por 30 millones de usuarios y 85.000 empresas en todo el mundo, dijo que la información de contraseña de los clientes no se vio comprometida.
LastPass desarrolla ofertas de administración de contraseñas para usuarios personales y comerciales. Con la tecnología LastPass, los usuarios crean una contraseña maestra segura que se cifra mediante el cifrado AES de 256 bits con PBKDF2 SHA-256. La tecnología también incluye autenticación multifactor. Esto permite a los usuarios iniciar sesión una vez al día para obtener acceso a todas sus aplicaciones protegidas con contraseña sin tener que crear o recordar contraseñas individuales.
[Related: THE 2022 SECURITY 100]
La empresa dijo en un informe de incidente de seguridad en línea que detectó actividad inusual en su entorno de desarrollo hace unas semanas, y tras iniciar una investigación descubrió que una persona no autorizada podía obtener parte de su código fuente sin comprometer las contraseñas de los clientes.
«Hemos determinado que una parte no autorizada obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una sola cuenta de desarrollador comprometida y tomó partes del código fuente y cierta información técnica patentada de LastPass. Nuestros productos y servicios funcionan con normalidad», escribió Karim Toubba. , CEO de LastPass y autor del informe del incidente de seguridad.
LastPass dijo que implementó medidas de contención y mitigación y «contrató a una empresa líder en ciberseguridad y análisis forense». La identidad de esta empresa no ha sido revelada.
Cuando CRN se puso en contacto con LastPass por correo electrónico para obtener más información, respondió con una declaración que en su mayoría se hizo eco del informe del incidente de seguridad en línea. Sin embargo, la respuesta agregó un poco más de información. Específicamente, la compañía escribió en el correo electrónico, «de acuerdo con la cultura de transparencia de la compañía, LastPass está en proceso de contactar a nuestros clientes con respecto al incidente».
En las preguntas frecuentes que acompañan al informe, Toubba escribió que el incidente no comprometió ninguna contraseña maestra, ya que están ocultas para la empresa a través de su arquitectura de conocimiento cero.
Toubba también escribió que no había evidencia de que el ataque comprometiera las contraseñas de los usuarios, que están descifradas, o los datos de los usuarios. También escribió que LastPass no recomienda ninguna acción del usuario en este momento.
LastPass fue adquirida por la compañía de software anteriormente conocida como LogMeIn, ahora conocida como nass GoTo, por $110 millones en 2015. El año pasado, LogMeIn se creó como una compañía separada.
José F. Kovar
«Jugador orgulloso. Gurú del café. Alcoholico galardonado. Entusiasta de la cerveza. Estudiante. Aficionado a los zombis. Lector. Especialista en música. Aficionado a la comida».
