Actualización sobre la filtración de LastPass: del 22 de agosto al 22 de diciembre

Actualización 26 del 3 de enero:

CyberHoot redactó un nuevo Artículo de LastPass: La gota que colmó el vaso para LastPass por separado con criterios para elegir un administrador de contraseñas de reemplazo.

Actualización 23 del 2022 de diciembre de 2:

La seguridad desnuda tiene este artículo Detallando su opinión sobre la filtración de LastPass y admitiendo el robo de bóvedas cifradas. Ofrecen comentarios y perspectivas útiles. Esto hizo reflexionar a CyberHoot...

Guardamos la información de nuestra tarjeta de crédito en LastPass para facilitar el llenado de formularios. ¿Cancelaremos y volveremos a emitir nuestras tarjetas de crédito? Personalmente, no lo haré. Mi contraseña maestra era tan larga y compleja que el esfuerzo requerido para descifrarla... Medidor de fortaleza de contraseña del sitio web Era: ¡7 cuatrillones de años! ¡Qué alivio!

23 de diciembre de 2022: Actualización sobre la vulneración de LastPass en CyberHoot:

LastPass publicó nueva información sobre su último anuncio de filtración de datos del 30 de noviembre, en el que su monitorización identificó una nueva filtración (relacionada con la de agosto). En esta actualización del 12/22/2022, admiten que creen que las bóvedas de contraseñas de clientes con cifrado AES de 256 bits fueron robadas a un tercero. Esta es la primera vez que reconocen que los datos de sus clientes estaban en riesgo. Esta es su opinión sobre la situación:

22 de diciembre, actualización del blog de LastPass:  

Si utiliza la configuración predeterminada anterior, tardaría millones de años en descifrar su contraseña maestra con tecnología de descifrado de contraseñas de uso general. Los datos confidenciales de su bóveda, como nombres de usuario y contraseñas, notas seguras, archivos adjuntos y campos de formulario, permanecen cifrados de forma segura gracias a la arquitectura de conocimiento cero de LastPass. No se recomienda realizar ninguna acción por el momento.

Sin embargo, es importante tener en cuenta que si su contraseña maestra no utiliza los valores predeterminados mencionados, se reducirá significativamente el número de intentos necesarios para adivinarla correctamente. En este caso, como medida de seguridad adicional, debería considerar minimizar el riesgo cambiando las contraseñas de los sitios web que tenga almacenados.

Entonces, ¿qué significa esto para todos los usuarios de LastPass o para las empresas que ya lo han implementado? Mucho trabajo, la verdad.

Evaluación de impacto de CyberHoot:

Nuestro personal sabe que lo siguiente es cierto: en muchos de los entornos de LastPass que hemos supervisado durante la última década, a pesar de nuestros videos de capacitación y nuestras políticas de contraseñas que requieren un mínimo de 14 caracteres en las contraseñas (2 más largas que los valores predeterminados de LastPass), hemos visto muchas contraseñas maestras que eran DÉBIL. Por lo tanto, dada la falta general de una higiene de contraseñas sólida, esta nueva información de violación de LastPass requiere que CyberHoot haga las siguientes recomendaciones a cualquier persona que use LastPass personalmente o en su negocio:

1. Informar a los usuarios sobre esta infracción y declara lo siguiente: “Cuente la longitud de su contraseña hoy. Si usó una contraseña maestra de menos de 12 caracteres, debe cambiarla hoy."
2. Si tu contraseña maestra tenía 12 caracteres o más, aún podías seguir los consejos a continuación, pero no creemos que sea 100 % necesario. Puedes PASAR AL PASO 3.3 A CONTINUACIÓN. Sin embargo, si tu contraseña era más corta, especialmente de 8 o 9 caracteres o menos, ve al paso 3.
3. Si está cambiando su contraseña maestra debido a la recomendación n.° 1 anterior, haga lo mismo. CADA UNO DE los siguientes:
   1. 1. ¡Convierte la nueva contraseña maestra en una frase de contraseña de entre 14 y 20 caracteres! Mira esto. Vídeo sobre contraseñas y frases de contraseña de CyberHoot para obtener consejos útiles.
      2. Cambie las contraseñas de TODAS SUS CUENTAS CRÍTICAS almacenadas en su Bóveda de Contraseñas[Nota: Sí, entendemos la queja colectiva sobre esta sugerencia. Háganlo de todos modos]. La razón es que si tuvieran una contraseña corta que pudiera ser forzada por fuerza bruta, todas sus contraseñas podrían estar en riesgo. Tienen poco tiempo antes de que los hackers de LastPass, en teoría, puedan atacar su bóveda y forzar su cuenta. Por lo tanto, como medida de precaución, cambien todas las contraseñas importantes de sus cuentas para protegerlas. [Consejo de CyberHoot: Primero cambie su contraseña de correo electrónico si no la tiene vinculada a la autenticación multifactor (también conocida como MFA).
      3. Habilite el acceso multifactor a su bóveda de contraseñas de LastPass.  Usa una aplicación de autenticación (no es necesario que sea LastPass Authenticator). Las aplicaciones de autenticación son más seguras que la autenticación multifactor (MFA) para mensajes de texto.Nota de CyberHootTener activada la MFA no protege en absoluto las bóvedas robadas en esta brecha de LastPass. Los ladrones intentarán robar las bóvedas de contraseñas únicamente basándose en la longitud de la contraseña maestra que hayas configurado.
4. Este paso va para TODOS. Permitir Autenticación multifactor (MFA), utilizando una aplicación de autenticación o, si realmente eres un experto en seguridad, una Yubikey Token de hardware en todas tus cuentas en línea compatibles con MFA. Esto evitaría que incluso una vulneración de la bóveda de LastPass comprometiera tus cuentas protegidas con MFA. MFA es tu aliado. Puede parecer un fastidio a veces, pero la verdad es que el sufrimiento de una vulneración es mucho peor.  Haz esto hoy.

Viabilidad de CyberHoot LastPass:  Q: ¿CyberHoot cree que LastPass es una solución viable dada esta vulneración y las vulneraciones anteriores que ha enfrentado?

Respuesta: No podemos responder a esa pregunta. En el caso de Cyberhoot, seguiremos usando LastPass, ya que estamos completamente comprometidos con ellos. Nuestras contraseñas maestras tienen mucho más de 12 caracteres, lo que hace improbable que el robo de nuestra bóveda revele algo a los hackers en cuestión. Además, por muy doloroso que haya sido este episodio para LastPass, demuestra su compromiso con la transparencia y la seguridad.  Potencialmente les habría sido mucho más fácil ocultar este incidente barriéndolo bajo la alfombra.  No lo hicieron. Queremos una empresa transparente. Que admita los errores cuando ocurren. Que cuente con monitoreo avanzado para detectar eventos de seguridad (como hicieron en este caso). Y que informe al respecto de forma honesta y abierta. Terminaremos con una declaración por la que se ha citado al FBI desde hace tiempo, ya que se aplica a TODAS las empresas y a TODOS los proveedores de software de gestión de contraseñas.

"Hay dos tipos de empresas en este mundo: las que saben que han sido hackeadas y las que no lo saben.

Sabemos cuándo y cómo se hackeó LastPass aquí. ¿Sabemos algo sobre otros proveedores de gestores de contraseñas que hayan sido hackeados?

Transparencia total:  CyberHoot no ha recibido ni un céntimo de LastPass en ningún aspecto, ni en el programa de referidos ni en ningún otro. Probablemente hemos dejado de lado miles de dólares en referidos por nuestro deseo de mantenernos al margen de nuestros informes.

Fuentes:

Artículo de Naked Security del 23 de diciembre sobre la filtración de LastPass

Blog de LastPass que describe la infracción y su respuesta

¡Asegure su negocio con CyberHoot hoy!

Inscríbase ahora