Los desarrolladores del administrador de contraseñas LastPass, que es utilizado por más de 33 millones de personas y más de 100.000 empresas, notificaron a los usuarios sobre un incidente en el que los atacantes lograron acceder a copias de seguridad del almacenamiento con los datos de los usuarios del servicio.
Los datos incluían información como nombre de usuario, dirección, correo electrónico, teléfono y direcciones IP desde las que se accedió al servicio, así como nombres de sitios no cifrados almacenados en el administrador de contraseñas e inicios de sesión, contraseñas, datos de formularios y notas cifrados almacenados en estos sitios.
Para proteger los inicios de sesión y las contraseñas de los sitios, se utilizó el cifrado AES con una clave de 256 bits generada mediante la función PBKDF2 basada en una contraseña maestra conocida solo por el usuario, con un tamaño mínimo de 12 caracteres. El cifrado y descifrado de inicios de sesión y contraseñas en LastPass se realiza solo en el lado del usuario, y adivinar la contraseña maestra se considera poco realista en el hardware moderno, dado el tamaño de la contraseña maestra y el número aplicado de iteraciones de PBKDF2.
Para llevar a cabo el ataque utilizaron datos obtenidos por los atacantes durante el último ataque ocurrido en agosto y se llevó a cabo mediante el compromiso de la cuenta de uno de los desarrolladores del servicio.
El ataque de agosto dio como resultado que los atacantes obtuvieran acceso al entorno de desarrollo, el código de la aplicación y la información técnica. Posteriormente resultó que los atacantes utilizaron datos del entorno de desarrollo para atacar a otro desarrollador, por lo que lograron obtener claves de acceso al almacenamiento en la nube y claves para descifrar datos de los contenedores allí almacenados. Los servidores en la nube comprometidos albergaban copias de seguridad completas de los datos del servicio del trabajador.
La revelación representa una actualización dramática de una brecha que LastPass reveló en agosto. El editor reconoció que los hackers «tomaron partes del código fuente y cierta información técnica patentada de LastPass». La compañía dijo en ese momento que las contraseñas maestras de los clientes, las contraseñas encriptadas, la información personal y otros datos almacenados en las cuentas de los clientes no se vieron afectados.
AES de 256 bits y solo se pueden descifrar con una clave de descifrado única derivada de la contraseña maestra de cada usuario utilizando nuestra arquitectura Zero Knowledge», explicó el director ejecutivo de LastPass, Karim Toubba, refiriéndose al Esquema de cifrado avanzado. Zero Knowledge se refiere a sistemas de almacenamiento que son imposibles de descifrar para el proveedor de servicios. El director ejecutivo continuó:
También enumeró varias soluciones que LastPass tomó para fortalecer su seguridad después de la violación. Los pasos incluyen el desmantelamiento del entorno de desarrollo hackeado y la reconstrucción desde cero, el mantenimiento de un servicio de respuesta y detección de punto final administrado, y la rotación de todas las credenciales y certificados relevantes que pueden haberse visto afectados.
Dada la confidencialidad de los datos almacenados por LastPass, es alarmante que se haya obtenido una gama tan amplia de datos personales. Si bien descifrar hashes de contraseñas requeriría una gran cantidad de recursos, no está descartado, especialmente dado el método y el ingenio de los atacantes.
Los clientes de LastPass deben asegurarse de haber cambiado su contraseña maestra y todas las contraseñas almacenadas en su bóveda. También deben asegurarse de que están utilizando configuraciones que superan la configuración predeterminada de LastPass.
Estas configuraciones codifican las contraseñas almacenadas usando 100100 iteraciones de la función de derivación de clave basada en contraseña (PBKDF2), un esquema de hash que puede hacer que sea imposible descifrar contraseñas maestras largas y únicas, y las 100100 iteraciones generadas aleatoriamente están lamentablemente por debajo del umbral de 310 000 iteraciones recomendado por OWASP para PBKDF2 en combinación con el algoritmo hash SHA256 utilizado por LastPass.
Los clientes de LastPass también deben estar muy atentos a los correos electrónicos de phishing y las llamadas telefónicas supuestamente de LastPass u otros servicios que buscan datos confidenciales y otras estafas que explotan sus datos personales comprometidos. La empresa también ofrece orientación específica para los clientes empresariales que han implementado los servicios de inicio de sesión federado de LastPass.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.
from Desde Linux https://ift.tt/FxaM8r6
via IFTTT
No hay comentarios.:
Publicar un comentario