En l'avís publicat el 25 d'agost, Karim Toubba, el director general de LastPass va declarar que una persona no autoritzada havia robat ' parts del codi font i alguna informació tècnica propietat de LastPass ”. Tanmateix, cap contrasenya ni compte dels clients es va veure afectat.

L'empresa de gestió de contrasenyes va ser piratejada fa un parell de setmanes en una de les infraccions de seguretat més grans del 2022. Els experts van revelar alguns detalls a diversos mitjans de comunicació que van afirmar que els empleats estaven lluitant per contenir l'atac després de l'incompliment.



LastPass va ser piratejat fa dues setmanes; Avís emès el 25 d'agost

Un pirata informàtic es va infiltrar fa dues setmanes en LastPass, el gestor de contrasenyes de GoTo (anteriorment LogMeIn, Inc). La investigació inicial de l'empresa revela que la intrusió només va poder apoderar-se dels sistemes interns de l'empresa per al desenvolupament de programari.

Afortunadament, no es va veure afectada cap dada sobre contrasenyes i detalls dels clients. El dijous 25 d'agost de 2022, LastPass va enviar un correu electrònic als clients sobre l'incompliment.



Hem determinat que una part no autoritzada va tenir accés a parts de l'entorn de desenvolupament de LastPass mitjançant un únic compte de desenvolupador compromès i va agafar parts del codi font i informació tècnica propietat de LastPass. ”, deia el correu electrònic.

No tenim proves que aquest incident hagi implicat cap accés a les dades dels clients o a les bóvedes de contrasenyes xifrades ”, va afegir.

LastPass ha emprat mesures de contenció i mitigació

En resposta a la violació de dades, LastPass ha desplegat 'mesures de contenció i mitigació'. A més, també han contractat una empresa líder en ciberseguretat per investigar la intrusió. L'empresa també ha publicat un Preguntes freqüents confirmant que tots els productes i serveis LastPass són ininterromputs i funcionen amb normalitat.

LastPass no ha compartit cap altre detall ja que el gestor de contrasenyes inicia una investigació forense. No obstant això, la principal preocupació continua sent que les dades de propietat robades puguin deixar pas als ciberdelinqüents per descobrir vulnerabilitats en les operacions de l'empresa.

De moment, les PMF de l'empresa estableixen que LastPass no emmagatzema informació sobre la 'contrasenya mestra' que utilitzen els clients per accedir als seus comptes a través dels serveis de gestió de contrasenyes.

En canvi, l'empresa treballa amb un mecanisme de 'xifratge de coneixement zero' per desbloquejar l'accés al compte d'un usuari. Això significa que la contrasenya mestra només s'emmagatzema al dispositiu del client i a la seva memòria.

Com protegir-se de la violació de dades de LastPass?

Com que LastPass no emmagatzema la contrasenya mestra enlloc i utilitza el model de 'coneixement zero', no cal que us preocupeu si sou un usuari de LastPass. No obstant això, l'empresa continua preocupada per evitar futurs intents de pirateria o compromís.

Les PMF del gestor de contrasenyes també diuen: 'En aquest moment, no recomanem cap acció en nom dels nostres usuaris o administradors'. Si encara us preocupa, podeu implementar algunes mesures generals com canviar la contrasenya mestra i no emmagatzemar-la al dispositiu.

També hauríeu d'utilitzar una combinació forta d'alfabets i números per crear la vostra contrasenya. No utilitzeu sèries aleatòries com 12345678 o paraules generals com el vostre nom o ubicació. L'ús d'una contrasenya difícil de descifrar en línia és imprescindible en aquests dies.

Canvia la teva contrasenya mestra de LastPass

La contrasenya mestra del vostre compte LastPass és una clau tot en un que desbloqueja l'accés a tot el vostre compte, incloses totes les contrasenyes del lloc, notes segures, elements d'emplenament de formularis, etc. Seguiu aquests passos per canviar la contrasenya mestra de LastPass:

  • Inicieu un navegador web i visiteu-lo aquesta pàgina .
  • Ara inicieu sessió amb la vostra adreça de correu electrònic i contrasenya mestra.
  • A continuació, seleccioneu Configuració del compte a la navegació esquerra.
  • A la pestanya General, feu clic a 'Canvia la contrasenya mestra'.

  • Ara introduïu la vostra contrasenya mestra actual.
  • A continuació, introduïu una nova contrasenya mestra i introduïu una pista de contrasenya.
  • Finalment, feu clic a 'Desa la contrasenya mestra'.

Després de restablir la contrasenya mestra, escriu-la en un full de paper amb un bolígraf i guarda el paper en un lloc segur. No el llenceu a un calaix a l'atzar o sota el vostre matalàs. També es recomana fer una còpia del paper.

LastPass també va patir un farciment de credencials l'any passat

LastPass també va patir un atac d'emplenament de credencials l'any passat que va provocar l'accés de l'actor d'amenaces a les contrasenyes mestres. La companyia va confirmar que les contrasenyes mestres van ser robades per pirates informàtics. Els intrusos també van distribuir el programari maliciós per robar contrasenyes de RedLine als sistemes.

LastPass va publicar la següent declaració en resposta a l'atac: ' Les nostres troballes inicials ens van fer creure que aquestes alertes es van activar com a resposta a un intent d'activitat d''emplenament de credencials', en què un actor maliciós o dolent intenta accedir als comptes d'usuari (en aquest cas, LastPass) mitjançant adreces de correu electrònic i contrasenyes obtingudes de tercers. infraccions de part relacionades amb altres serveis no afiliats .”

Vam treballar ràpidament per investigar aquesta activitat i, en aquest moment, no tenim cap indicació que cap compte de LastPass hagi estat compromès per un tercer no autoritzat com a resultat d'aquests intents d'ompliment de credencials, ni hem trobat cap indici que les credencials de LastPass de l'usuari hagin estat recollides per programari maliciós. , extensions de navegador fraudulentes o campanyes de pesca .”

Abans d'això, LastPass va informar d'una vulnerabilitat de seguretat a la seva extensió per a Google Chrome. Tot i que no va ser exactament una incompliment, molts usuaris d'Internet es van quedar preocupats a causa de la notícia.

De moment, la situació està sota el control de l'empresa. Us mantindrem informats de les novetats.