La empresa de software de administración de contraseñas LastPass sufrió una violación de datos que condujo al robo del código fuente e información técnica patentada.
La empresa, que es propiedad de GoTo (anteriormente LogMeIn), reveló la infracción en un aviso en línea publicado el jueves, pero insistió en que las contraseñas maestras de los clientes o los datos cifrados de la bóveda de contraseñas no se vieron comprometidos.
El director ejecutivo de LastPass, Karim Toubba, dijo que el equipo de seguridad de la compañía detectó actividad inusual en partes del entorno de desarrollo de LastPass hace dos semanas y lanzó una investigación que confirmó el robo del código fuente.
Del aviso de LastPass :
Determinamos que una parte no autorizada obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una sola cuenta de desarrollador comprometida y tomó partes del código fuente y cierta información técnica patentada de LastPass. Nuestros productos y servicios están funcionando con normalidad.
En respuesta al incidente, implementamos medidas de contención y mitigación, y contratamos a una firma líder en ciberseguridad y análisis forense. Si bien nuestra investigación está en curso, hemos logrado un estado de contención, implementamos medidas de seguridad mejoradas adicionales y no vemos más evidencia de actividad no autorizada.
Toubba dijo que la compañía está evaluando más técnicas de mitigación para fortalecer su entorno.
Lo que es más importante, LastPass insiste en que el incidente no comprometió las contraseñas maestras que gestionan el acceso a las bóvedas cifradas en su software insignia de gestión de contraseñas.
“Nunca almacenamos ni tenemos conocimiento de su contraseña maestra”, dijo Toubba, y señaló que LastPass utiliza una arquitectura de conocimiento cero que garantiza que la empresa nunca pueda conocer u obtener acceso a la contraseña maestra de un cliente.
Dijo que la investigación no ha mostrado evidencia de ningún acceso no autorizado a datos de bóveda encriptados o datos de clientes en el entorno de producción de LastPass.
El último truco llega inmediatamente después de que los usuarios de LastPass sean objeto de ataques de “relleno de credenciales” que utilizan direcciones de correo electrónico y contraseñas obtenidas de infracciones de terceros.
LastPass reclama más de 30 millones de usuarios y 85.000 clientes comerciales en todo el mundo.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
