LastPass, una de las empresas de administración de contraseñas más grandes y populares del mundo, ha revelado nuevos detalles relacionados con la brecha de seguridad que sufrió el mes pasado y que resultó en el robo de partes de su código fuente y alguna información técnica. El CEO de compañía, Karim Toubba, ha actualizado la publicación que compartió el 25 de agosto confirmando dicho incidente y ha admitido que el actor de amenazas detrás del mismo tuvo acceso a sus sistemas internos durante cuatro días.
"Durante este periodo, el equipo de seguridad de LastPass detectó la actividad del actor de amenazas y luego contuvo el incidente", señala Toubba, y agrega: "No hay evidencia de ninguna actividad de actor de amenazas más allá de la línea de tiempo establecida. También podemos confirmar que no hay evidencia de que este incidente involucre ningún acceso a los datos del cliente o bóvedas de contraseñas encriptadas".
Cómo se perpetró el hackeo
Según indica el CEO de LastPass, así lo determina la investigación que ha llevado a cabo su compañía en asociación con la firma de ciberseguridad Mandiant para esclarecer las causas y consecuencias del ciberataque. Tal y como concluye su análisis, el atacante logró acceder al entorno de desarrollo de LastPast utilizando "el punto final comprometido" de uno de sus desarrolladores, aunque el método que empleó para lograr esto "no es concluyente". No obstante, Toubba apunta que el atacante "utilizó su acceso persistente para hacerse pasar por el desarrollador una vez que el desarrollador se autenticó con éxito mediante la autenticación de varios factores" y reitera que, a pesar de este acceso no autorizado, no pudo obtener ningún dato confidencial de los clientes.
"Aunque el actor de amenazas pudo acceder al entorno de desarrollo, el diseño y los controles de nuestro sistema impidieron que el actor de amenazas accediera a los datos de los clientes o a las bóvedas de contraseñas cifradas".
No se ha encontrado evidencia de que el atacante haya intentado inyectar código malicioso
El CEO de LastPass también concreta cuáles son las medidas que incorpora su sistema y que evitaron que el atacante pudiera acceder a esa información. Por un lado, que su entorno de desarrollo no contiene datos de clientes ni bóvedas cifradas y, además, está físicamente separado y no tiene conectividad directa con su entorno de producción. Por otro lado, que LastPass no tiene acceso a las contraseñas maestras de las bóvedas de sus clientes, por lo que solamente el propietario de la bóveda puede descifrar sus datos como parte de su modelo de seguridad Zero Knowledge.
"Para validar la integridad del código, realizamos un análisis de nuestro código fuente y compilaciones de producción y confirmamos que no vemos evidencia de intentos de envenenamiento de código o inyección de código malicioso. Los desarrolladores no tienen la capacidad de enviar el código fuente desde el entorno de desarrollo a la producción. Esta capacidad está limitada a un equipo de Build Release independiente y solo puede ocurrir después de completar los rigurosos procesos de revisión, prueba y validación del código".
LastPass ha reforzado su ciberseguridad
Karim Toubba continúa su publicación destacando que, tras esta brecha de seguridad, LastPass se ha asociado con una compañía de ciberseguridad para mejorar sus prácticas de seguridad del código fuente, y que también han "implementado controles de seguridad mejorados que incluyen controles y monitoreo de seguridad de punto final adicionales", así como capacidades adicionales de inteligencia de amenazas y tecnologías mejoradas de detección y prevención en entornos de desarrollo y producción.
"Reconocemos que los incidentes de seguridad de cualquier tipo son inquietantes, pero queremos asegurarle que sus datos personales y contraseñas están seguros bajo nuestro cuidado. Gracias por su continua confianza y apoyo", remata el CEO de LastPass.