La empresa de seguridad en línea LastPass publicó un anuncio ayer en el blog oficial de la empresa que detectó y bloqueó actividad sospechosa en la red de la empresa.

De acuerdo con la información publicada en el blog, la compañía no encontró evidencia de que se haya accedido a las cuentas de usuario de LastPass o que se hayan descargado datos de la bóveda de usuarios. La compañía no mencionó cuándo notó por primera vez la violación, pero algunos usuarios informaron que comenzaron a recibir spam en direcciones de correo electrónico utilizadas exclusivamente para la cuenta del administrador de contraseñas el 8 de junio.

La investigación de LastPass confirmó que las direcciones de correo electrónico de las cuentas, los recordatorios de contraseñas, las sales de servidor por usuario y los hash de autenticación estaban comprometidos.

La compañía, confiando en las características de protección del servicio, habilitó medidas de seguridad adicionales para la mayoría de las cuentas.

Por ejemplo, requiere que todos los usuarios vuelvan a verificar la cuenta por correo electrónico si se utiliza un nuevo dispositivo o dirección IP para acceder a la cuenta. Este no es el caso de los inicios de sesión en dispositivos conocidos o desde direcciones IP conocidas, y también es solo el caso si no se utiliza la autenticación multifactor.

Además de eso, los usuarios recibirán indicaciones para actualizar su contraseña maestra.

bóveda de último paso

La empresa se comunicará con información. Envió correos electrónicos a todos los usuarios informándoles sobre el incidente de seguridad.

Dado que los datos de usuario cifrados no fueron robados, LastPass no requiere que los usuarios cambien las contraseñas de los sitios y servicios almacenados por el servicio en la nube.

Los atacantes pueden utilizar la información robada para descifrar contraseñas maestras, especialmente si los usuarios seleccionaron contraseñas débiles.

Que deberías hacer

Aunque es posible que no reciba indicaciones para cambiar su contraseña maestra, es posible que desee cambiarla independientemente de eso. Esto se puede hacer directamente en el Ultimo pase sitio web, por ejemplo.

Además, se recomienda habilitar autenticación multifactor para que las cuentas les agreguen una segunda capa de protección.

LastPass admite una variedad de opciones de autenticación basadas en software y hardware, algunas de las cuales solo están disponibles para usuarios premium.

Una vez que habilita la función de seguridad, los inicios de sesión requieren un segundo paso de autenticación que es independiente de los datos almacenados por LastPass. Por ejemplo, puede utilizar Google Authenticator, una aplicación de Google, para crear códigos para la segunda fase de inicio de sesión. Los atacantes necesitarían acceder a su teléfono o dispositivo móvil en el que se ejecuta Google Authenticator para completar ese paso.

Aparte de eso, debe asegurarse de no reutilizar su contraseña maestra. Si lo hizo, se recomienda cambiarlo también de inmediato.

Por último, pero no menos importante, dado que los atacantes obtuvieron direcciones de correo electrónico, es posible que reciba correos electrónicos no deseados o ataques de ingeniería social que intentan robarle datos directamente.

Palabras de cierre

El servicio también sufrió una infracción en 2011 que me afectó. En ese momento tomé la decisión de cambiar al administrador de contraseñas local KeePass después de cambiar cientos de contraseñas de cuentas en Internet.

Los servicios de contraseñas en línea son objetivos de alto perfil para los atacantes, ya que almacenan cuentas para miles o incluso millones de usuarios.

Ahora tu: ¿Está afectado por la infracción?