LastPass dice que los hackers tomaron ‘partes del código fuente’

25 de agosto de 2022, 08:34 p. m. EST

En un informe sobre un incidente de seguridad en línea, el director general de la empresa, Karim Tuba, dijo que alguien eludió la seguridad que usa LastPass para asegurar las contraseñas de los usuarios para obtener parte del código fuente de la empresa de su entorno de desarrollo, pero parece que no pudieron acceder a las contraseñas de los clientes o a sus datos personales.

El desarrollador de tecnología de administración de contraseñas LastPass dijo el jueves que su entorno de desarrollo ha sido pirateado, lo que resultó en el robo de partes de su código fuente.

Sin embargo, la empresa con sede en Boston, cuya tecnología es utilizada por 30 millones de usuarios y 85.000 empresas en todo el mundo, dijo que la información de la contraseña del cliente no se había visto comprometida.

LastPass desarrolla ofertas de administración de contraseñas para usuarios personales y comerciales. Con la tecnología LastPass, los usuarios generan una contraseña maestra segura que se cifra mediante el cifrado AES de 256 bits con PBKDF2 SHA-256. La tecnología también incluye autenticación multifactor. Esto permite a los usuarios iniciar sesión una vez al día para acceder a todas sus aplicaciones protegidas con contraseña sin crear ni recordar contraseñas individuales.

[Related: THE 2022 SECURITY 100]

La empresa dijo en Informe de incidentes de seguridad en línea Que descubrió una actividad inusual en su entorno de desarrollo hace dos semanas y, después de realizar una investigación, descubrió que una persona no autorizada pudo obtener una parte de su código fuente sin comprometer las contraseñas de los clientes.

“Hemos determinado que una parte no autorizada obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una única cuenta de desarrollador comprometida y tomó partes del código fuente y cierta información técnica de LastPass”, escribió Karim Tuba, director ejecutivo de LastPass y autor del documento de seguridad. reporte de incidente Nuestros productos y servicios se encuentran operando con normalidad.

LastPass dijo que implementó medidas de contención y mitigación y «contrató a una empresa líder en ciberseguridad y análisis forense». La identidad de esa empresa no ha sido revelada.

Cuando CRN se puso en contacto con LastPass por correo electrónico para obtener más información, respondió con una declaración que en su mayoría se hace eco del informe del incidente de seguridad en línea. Sin embargo, la respuesta agregó poca información. En particular, la empresa escribió en el correo electrónico: «De acuerdo con la cultura de transparencia de la empresa, LastPass está en proceso de contactar a nuestros clientes sobre el incidente».

En las preguntas frecuentes que acompañan al informe, Tuba escribió que el incidente no comprometió ninguna contraseña maestra, ya que están ocultas para la empresa a través de una estructura de conocimiento cero.

Toubba también escribió que no había evidencia de que el ataque hubiera comprometido las contraseñas de los usuarios, que habían sido descifradas, ni ningún dato de usuario. También escribió que LastPass no recomienda ninguna acción del usuario en este momento.

LastPass fue adquirida por la compañía de software antes conocida como LogMeIn, ahora conocida como nass GoTo, por $110 millones en 2015. El año pasado, LogMeIn se incorporó como una compañía separada.