Según informa Karim Toubba, director ejecutivo de LastPass, un veterano del sector de la ciberseguridad con más de 25 años de experiencia:
“Hace dos semanas, detectamos una actividad inusual en partes del entorno de desarrollo de LastPass. Después de iniciar una investigación inmediata, no hemos visto evidencia de que este incidente involucre ningún acceso a los datos del cliente o bóvedas de contraseñas encriptadas.
Determinamos que una parte no autorizada obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una sola cuenta de desarrollador comprometida y tomó partes del código fuente y cierta información técnica patentada de LastPass. Nuestros productos y servicios están funcionando con normalidad.
En respuesta al incidente, implementamos medidas de contención y mitigación, y contratamos a una firma líder en ciberseguridad y análisis forense. Si bien nuestra investigación está en curso, hemos logrado un estado de contención, implementamos medidas de seguridad mejoradas adicionales y no vemos más evidencia de actividad no autorizada.
Con base en lo que hemos aprendido e implementado, estamos evaluando más técnicas de mitigación para fortalecer nuestro entorno. Hemos incluido una breve sección de preguntas frecuentes a continuación de lo que anticipamos serán las preguntas e inquietudes iniciales más apremiantes de su parte. Continuaremos actualizándolo con la transparencia que se merece.”
Algunas preguntas:
1. ¿Se ha visto comprometida mi Contraseña Maestra o la Contraseña Maestra de mis usuarios?
No. Este incidente no comprometió su contraseña maestra. Nunca almacenamos ni tenemos conocimiento de su contraseña maestra. Utilizamos una arquitectura de conocimiento cero estándar de la industria que garantiza que LastPass nunca pueda saber u obtener acceso a la contraseña maestra de nuestros clientes.
2. ¿Se ha comprometido algún dato dentro de mi bóveda o las bóvedas de mis usuarios?
No. Este incidente ocurrió en nuestro entorno de desarrollo. Nuestra investigación no ha mostrado evidencia de ningún acceso no autorizado a los datos de la bóveda encriptada. Nuestro modelo de conocimiento cero garantiza que solo el cliente tenga acceso para descifrar los datos de la bóveda.
3. ¿Se ha visto comprometida alguna parte de mi información personal o la información personal de mis usuarios?
No. Nuestra investigación no ha mostrado evidencia de ningún acceso no autorizado a los datos del cliente en nuestro entorno de producción.
4. ¿Qué debo hacer para protegerme a mí mismo y a mis datos de bóveda?
En este momento, no recomendamos ninguna acción en nombre de nuestros usuarios o administradores. Como siempre, le recomendamos que siga nuestras prácticas recomendadas sobre instalación y configuración de LastPass, que se pueden encontrar aquí.
Incidente de seguridad en el gestor de contraseñas LastPass https://t.co/agiH2Ueszm
Incidente de seguridad en el gestor de contraseñas LastPass https://t.co/OX6NCfk9MB https://t.co/o3uDeVyLSo