LastPass ha hecho una actualización informativa sobre los incidentes de seguridad de hace unos meses y que se hizo público el 22 de diciembre de 2022. Y es que, según dicen, acaban de completar una investigación exhaustiva y no hemos visto ninguna actividad de amenaza desde el 26 de octubre de 2022. Eso sí, se han descubierto nuevos aspectos del impacto de esta brecha de seguridad.

La empresa de software de administración de contraseñas LastPass sufrió una violación de datos que condujo al robo del código fuente e información técnica patentada

Usuarios del servicio de gestión de contraseñas LastPass se están encontrando estos días con notificaciones alertándoles de intentos de inicios de sesión en sus cuentas en esta plataforma usando las contraseñas maestras que tienen para este servicio, llegando hasta el punto de cambiarlas en algunos casos y seguir recibiendo notificaciones de intentos de acceso a las cuentas con las contraseñas maestras.

Una aplicación popular que prometía eliminar la carga de recordar contraseñas ha provocado una reacción violenta al exigir, semanas después de que fue adquirida por dos firmas de capital privado, que los usuarios paguen o enfrenten restricciones de acceso a sus cuentas en línea. LastPass ha animado a millones de personas a reemplazar contraseñas débiles en sitios web minoristas, bancos de Internet y otros servicios en línea. En cambio, el software maneja la autenticación automáticamente usando contraseñas largas y complejas que son imposibles

Independent Security Evaluators ha hecho público una investigación en la que han analizado el comportamiento de varios gestores de contraseñas populares encontrando vulnerabilidades preocupantes. Problemas que permitirían el robo de las contraseñas almacenadas o incluso de la clave maestra mediante una aplicación maliciosa instalada en el equipo. Este grupo de expertos en seguridad informática han examinado, concretamente, el funcionamiento en Windows 10 de los administradores de contraseñas 1Password, KeePass, LastPass y Dashline.

El más reciente fallo de seguridad que se les ha descubierto, es un problema bastante grave con la forma en la que implementan el proceso de verificación en dos pasos. Un atacante podría deshabilitar la autenticación en dos factores si ya tiene la contraseña, básicamente, los dos factores no existían realmente. LastPass estaba usando un hash de la contraseña del usuario para generar el código QR que se usaba para establecer la autenticación en dos pasos en el dispositivo de un usuario. Es decir, LastPass estaba guardando la semilla secreta.

El error se encontraba en el código de análisis (parse) de la URL que LastPass añade mediante la extensión de navegador. Este error permitía engañar al sistema, haciéndole creer que estaba en otra web y extrayendo los datos de acceso a ésta. Así, por ejemplo, uno podía visitar una web cualquiera, y hacer uso de este fallo de seguridad para obtener la contraseña de Twitter, Facebook y otros servicios online. El otro fallo permitía ejecutar acciones de LastPass en segundo plano sin conocimiento, por culpa de la extensión de Firefox.

LastPass, un programa de manejo de contraseñas muy popular, es vulnerable a un ataque de phishing bastante trivial, como demuestra el investigador de seguridad Sean Cassidy.

Durante estas semanas se han conocido o están a punto de conocerse una serie de vulnerabilidades en algunos de los gestores de contraseñas más utilizados, como pueden ser 1Password, LastPass y Keepass. Estos gestores son utilizados a diario por miles de usuarios y puede poner en peligro millones de contraseñas usadas en todo tipo de servicios, desde cuentas de correo personales y perfiles en redes sociales hasta datos corporativos confidenciales almacenados en servicios en la nube.

LastPass, el popular gestor de contraseñas, acaba de haber público un comunicado en el que reconocen haber sido "hackeados". En concreto, han...

LastPass hackeado. Cambia tu clave master ahora [ENG]

Un análisis de seguridad, realizado por la Universidad de California (Berkeley) ha revelado una serie de importantes vulnerabilidades en algunos de los servicios de gestión de contraseñas más populares como son LastPass, RoboForm, PasswordBox, My1Login y NeedMyPassword, que permitirían a un atacante obtener las credenciales de un usuario en sitios web, en al menos cuatro de los cinco servicios estudiados.