Si todavía es cliente de LastPass, debería considerar deshacerse de la aplicación del administrador de contraseñas en la primera oportunidad que tenga. Bueno, eso es después de Navidad o las vacaciones porque eso es lo que preocupa a la mayoría de la gente en este momento. Y es ahora que LastPass decidió anunciar que los piratas informáticos que violaron sus sistemas pudieron robar las bóvedas cifradas que contienen sus contraseñas. Ahora, el jueves antes de Navidad, LastPass emitió un aviso de un incidente de seguridad reciente en el que los piratas informáticos robaron una copia de “una copia de seguridad de los datos de la bóveda del cliente del contenedor de almacenamiento cifrado que se almacena en un formato binario patentado que contiene datos no cifrados, como URL de sitios web, así como campos confidenciales totalmente encriptados, como nombres de usuario y contraseñas de sitios web, notas seguras y datos rellenados por formularios”. No hay motivo para entrar en pánico, parece indicar LastPass. Pero también deberías. Los problemas de seguridad más recientes de LastPass comenzaron en agosto cuando los piratas informáticos accedieron a su almacenamiento basado en la nube. En ese momento, los piratas informáticos no obtuvieron ningún dato del cliente. Pero luego, en noviembre, LastPass detectó otra intrusión basada en la brecha de agosto. No está claro si los piratas informáticos robaron las contraseñas cifradas en noviembre. Pero LastPass dice en el nuevo anuncio que los atacantes persiguieron a un empleado y así obtuvieron “credenciales y claves que se usaron para acceder y descifrar algunos volúmenes de almacenamiento dentro del servicio de almacenamiento basado en la nube”. LastPass les dice a los clientes que sus contraseñas y tarjetas de crédito están seguras a pesar de que los piratas informáticos obtuvieron las bóvedas encriptadas:
Estos campos cifrados permanecen protegidos con cifrado AES de 256 bits y solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario utilizando nuestra arquitectura Zero Knowledge. Como recordatorio, LastPass nunca conoce la contraseña maestra y LastPass no la almacena ni la mantiene.
Pero eso no es lo suficientemente bueno. Es casi imposible romper esas bóvedas. Por poco. Sin embargo, puede suceder si los atacantes pueden entrar por la fuerza bruta en el tuyo. Si tiene una contraseña maestra débil o una que recicla con otros servicios de Internet que podrían haber visto infracciones antes, eso es un riesgo. Los piratas informáticos podrían adivinarlo.
Aplicación LastPass Fuente de la imagen: LastPass Recordemos que los atacantes también obtuvieron datos sin cifrar. Saben para qué sitios puede haber guardado contraseñas o tarjetas de crédito en la bóveda de LastPass. Los atacantes pueden intentar otras formas de obtener la contraseña maestra de su cuenta, como ataques de phishing e ingeniería social. Después de todo, los piratas informáticos también robaron “nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP” desde las que accede a LastPass. LastPass también señala que desde 2018 ha implementado nuevas funciones de seguridad, incluido “un algoritmo de fortalecimiento de contraseña más fuerte que dificulta adivinar su contraseña maestra”. Con estas configuraciones predeterminadas, “tomaría millones de años adivinar su contraseña maestra utilizando la tecnología de descifrado de contraseñas generalmente disponible”. LastPass dice que no hay acciones recomendadas que los clientes deban tomar en este momento si lo anterior se aplica a su cuenta. Pero está en riesgo si su cuenta no usa estos valores predeterminados. LastPass aconseja a los usuarios que minimicen el riesgo “cambiando las contraseñas del sitio web que ha almacenado”. Cada sitio web. Antes de Navidad. Algunas cuentas comerciales que no usan servicios de inicio de sesión federado también pueden estar en riesgo. La compañía dice que ha notificado a menos del 3% de esos usuarios para que tomen medidas específicas. El problema de todo esto no es el hack en sí, un riesgo al que está expuesto cualquier servicio basado en la nube. Es realmente la forma en que LastPass lanzó esta inquietante noticia. Justo antes de Navidad, cuando la gente tiene mayores preocupaciones que sus administradores de contraseñas. Realmente parece imposible que se hayan enterado ahora, considerando que han estado investigando esta brecha desde agosto. Si es un cliente de LastPass que acaba de enterarse de que los piratas informáticos pueden robar sus contraseñas cifradas, debe hacer al menos una cosa. Encuentre el tiempo para cambiar todas sus contraseñas (incluida la maestra) y preste especial atención a la información de la tarjeta de crédito y la información que ha almacenado en las notas. Yo iría un paso más allá. Transferiría todas mis contraseñas a un administrador diferente y me desharía de mi suscripción a LastPass. Incluso si los piratas informáticos necesitan un millón de años para entrar en mi bóveda.
Fuente: BGR
Uber está mejorando sus implementaciones de IoT en todo el mundo mediante la adopción de…
Obras de motor de materia y Bharti Airtel, un proveedor de servicios de telecomunicaciones ha…
En The Legend of Zelda: Breath of the Wild, los guardianes son una forma primitiva…
Muchos de nosotros nos enamoramos absolutamente de Wall-E, el personaje principal de una…
Dhruv Bhutani / Android AuthorityCada año, los fanáticos de los teléfonos inteligentes esperan con ansias…
Apple ha anunciado que Final Cut Pro finalmente llegará para el iPad. Tras años de…