Afortunadamente, una copia bien encriptada que podría tardar un eón en crackearse, a menos que los usuarios practicasen una mala hábito de contraseñas.
El servicio de contraseñas LastPass ha advertido a sus clientes de que el ataque a sus sistemas de agosto de 2022 permitió a desconocidos copiar archivos cifrados que contenían las contraseñas de sus cuentas.
En una actualización del 22 de diciembre en su aviso sobre el incidente, LastPass pone al día a sus clientes explicando que en el ataque de agosto de 2022 "se robaron algunos códigos fuente e información técnica de nuestro entorno de desarrollo y se utilizaron para apuntar a otro empleado, obteniendo credenciales y claves que se utilizaron para acceder y descifrar algunos volúmenes de almacenamiento dentro del servicio de almacenamiento basado en la nube."
Esas credenciales permitieron al atacante copiar información "que contenía datos básicos de la cuenta del cliente y metadatos relacionados, incluidos nombres de empresas, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y las direcciones IP desde las que los clientes accedían al servicio LastPass."
La actualización revela que el atacante también copió los datos de la "bóveda del cliente", el archivo que LastPass utiliza para que los clientes registren sus contraseñas.
Ese archivo "se almacena en un formato binario patentado que contiene tanto datos no cifrados, como URL de sitios web, como campos confidenciales totalmente cifrados, como nombres de usuario y contraseñas de sitios web, notas seguras y datos rellenados en formularios".
Lo que significa que los atacantes tienen las contraseñas de los usuarios. Pero, por suerte, esas contraseñas están cifradas con "encriptación AES de 256 bits y solo pueden descifrarse con una clave de cifrado única derivada de la contraseña maestra de cada usuario".
El consejo de LastPass es que, aunque los atacantes dispongan de ese archivo, los clientes que utilicen su configuración por defecto no tienen nada que hacer como consecuencia de esta actualización, ya que "tardarían millones de años en adivinar su contraseña maestra utilizando tecnología de descifrado de contraseñas generalmente disponible."
Uno de esos ajustes por defecto es no reutilizar la contraseña maestra que se requiere para iniciar sesión en LastPass. El equipo sugiere que sea una credencial compleja y utilizar esa contraseña para una sola cosa: acceder a LastPass.
Sin embargo, sabemos que los usuarios suelen ser muy poco cuidadosos a la hora de elegir buenas contraseñas, mientras que dos tercios reutilizan contraseñas a pesar de que deberían saberlo.
Así que, aunque LastPass confía en que los archivos copiados desde su nube resistan los intentos de fuerza bruta para descifrar la contraseña maestra, si esa credencial ya está ahí fuera... ya sabes cómo acaba esto y no es agradable, ya que una cuenta de LastPass puede almacenar cientos de contraseñas.
Ah, y no olvidemos que la bóveda de clientes de LastPass también puede almacenar mucha otra información personal sensible.
Por ello, LastPass ofrece los siguientes consejos a usuarios particulares y empresas:
Si tu contraseña maestra no hace uso de los valores predeterminados anteriores, entonces se reduciría significativamente el número de intentos necesarios para adivinarla correctamente. En este caso, como medida de seguridad adicional, deberías considerar minimizar el riesgo cambiando las contraseñas de los sitios web que tengas almacenados.
Disfruta cambiando todas esas contraseñas
Fuente: theregister