LastPass ha hecho una actualización informativa sobre los incidentes de seguridad de hace unos meses y que se hizo público el 22 de diciembre de 2022. Y es que, según dicen, acaban de completar una investigación exhaustiva y no hemos visto ninguna actividad de amenaza desde el 26 de octubre de 2022. Eso sí, se han descubierto nuevos aspectos del impacto de esta brecha de seguridad.
Hay que recordar que esta empresa que tiene software donde almacena contraseñas de particulares y empresas ha sido objeto de ataques en diversas ocasiones: tenemos reportados desde aquí los incidentes de seguridad en dos ocasiones en diciembre de 2022, en agosto también del pasado año y en el año 2017, entre otros. En el momento del último incidente, desde la empresa dijeron que no era tan grave, pero expertos en ciberseguridad dijeron no opinar lo mismo.
-Falta de comunicación en el momento de las amenazas
LastPass tiene «millones de usuarios y más de 100.000 empresas». Y un problema que hubo y que la misma empresa reconoce fue dar escasa información, lo que frustró a sus usuarios. «Entendemos y lamentamos la frustración que nuestras comunicaciones iniciales causaron tanto a las empresas como a los consumidores».
En concreto, hubo dos amenazas. El actor de la amenaza explotó una vulnerabilidad en el software de terceros, eludió los controles existentes y, finalmente, accedió a entornos de desarrollo y almacenamiento de copias de seguridad que no estaban en producción, dentro de LastPass. Hasta la fecha se desconoce la identidad del autor de la amenaza y su motivación.
«No se han producido contactos ni demandas, y no se ha detectado ninguna actividad clandestina creíble que indique que el autor de la amenaza se dedique activamente a comercializar o vender la información obtenida durante ambos incidentes».
-Resumen de cómo fue cada incidente
Por un lado, se encontró que el portátil corporativo de un ingeniero de software se vio comprometido y el atacante pudo así acceder a un entorno de desarrollo basado en la nube y robar código fuente, información técnica y secretos del sistema interno de LastPass.
Durante este incidente no se sustrajeron datos de clientes ni de bóvedas, ya que esta información no está en el entorno de desarrollo, según el CEO de LastPass. La información robada en el primer incidente se utilizó para identificar objetivos e iniciar el segundo incidente.
Para dar respuesta a este incidente, la empresa, junto con Mandiant, la compañía eliminó el entorno de desarrollo y reconstruyó otro nuevo. Desplegaron tecnologías y controles de seguridad adicionales para complementar los controles existentes.
-Segundo incidente
El autor de la amenaza atacó a un ingeniero senior de DevOps aprovechando un software vulnerable de terceros. El autor de la amenaza aprovechó la vulnerabilidad para distribuir malware, eludir los controles existentes y, en última instancia, obtener acceso no autorizado a las copias de seguridad en la nube.
Los datos a los que se accedió desde esas copias de seguridad incluían datos de configuración del sistema, secretos de API, secretos de integración de terceros y datos de clientes de LastPass cifrados y sin cifrar.
-Las principales soluciones anunciadas
LasPass ha anunciado medidas que sus clientes deben llevar a cabo, unos tres meses después del incidente de seguridad. La empresa ha hecho dos boletines de seguridad, uno para usuarios gratuitos, Premium, y Familias, y uno adaptado para usuarios Business y Teams.
Cada boletín de seguridad ayuda a responder a los incidentes de seguridad de una manera que satisface sus propias necesidades personales o el perfil de seguridad y el entorno de su organización. Cabe decir que, aunque te da la opción de escoger que quieres verlo en español, en la práctica solo está en inglés. Así que para comprender qué hacer, tendrás que usar un traductor como Deepl.
Aun así, el líder de esta gran empresa no da información muy concreta. Por un lado, dice que, desde agosto, han desplegado varias tecnologías de seguridad nuevas en nuestra infraestructura, centros de datos y entornos en la nube para reforzar aún más nuestra postura de seguridad. También ha habido nuevas inversiones en seguridad, privacidad y mejores prácticas operativas, entre otros asuntos.
La última publicación al respecto, databa del 22 de diciembre, tras estas semanas de silencio ante un grave incidente de seguridad el CEO de LastPass acaba de pedir perdón por la “incapacidad para comunicarnos de forma más inmediata, más clara y más exhaustiva a lo largo de este evento”.