Mensaje para nuestros clientes de LastPass
Quiero comunicarles novedades importantes sobre el incidente de seguridad que hicimos público el 22 de diciembre de 2022. Hemos llegado ya al final de una investigación exhaustiva y no hemos observado ninguna actividad por parte de los atacantes desde el 26 de octubre de 2022.
A lo largo de la investigación, hemos recabado mucha información sobre lo que sucedió y hoy vamos a revelar nuevas conclusiones. Durante este tiempo, hemos invertido una gran cantidad de horas y esfuerzos a reforzar nuestra seguridad y a mejorar el conjunto de actividades de protección. Hoy voy a detallar estas medidas y explicaré también qué otras acciones hemos adoptado para incrementar la seguridad.
Estos son los puntos que vamos a abordar hoy:
- ¿Qué ocurrió y qué medidas adoptamos?
- ¿A qué datos accedieron?
- ¿Qué acciones debería realizar para protegerse o proteger a su empresa?
- Qué hemos hecho para reforzar la seguridad de LastPass
- Qué puede esperar de nosotros
- Eliminamos el entorno de desarrollo y creamos uno nuevo como medida de contención y erradicación.
- Implantamos tecnologías y controles de seguridad adicionales para complementar los controles existentes.
- Rotamos todos los secretos sin cifrar relevantes utilizados por nuestros equipos y todos los certificados expuestos.
- Hemos analizado los recursos de almacenamiento en la nube de LastPass y hemos aplicado políticas y controles adicionales.
- Hemos analizado y modificado los controles de acceso con privilegios existentes.
- Hemos rotado secretos y certificados relevantes consultados por el atacante.
- Repositorios de código fuente y desarrollo en la nube bajo demanda: acceso a 14 de 200 repositorios de software.
- Scripts internos de los repositorios: contenían secretos y certificados de LastPass.
- Documentación interna: información técnica que describía el funcionamiento del entorno de desarrollo.
- Secretos de operaciones de desarrollo: secretos restringidos que se utilizaron para acceder al almacenamiento de copias de seguridad en la nube.
- Almacenamiento de copias de seguridad en la nube: datos de configuración, secretos de API, secretos de integración de terceros, metadatos de clientes y copias de seguridad de todos los datos de las bóvedas de los clientes. Todos los datos sensibles de las bóvedas de los clientes, salvo URL, rutas de archivo a software de LastPass para Windows o macOS instalado y determinados casos de uso con direcciones de correo electrónico, estaban cifrados utilizando nuestro modelo de conocimiento cero y pueden descifrarse solo con una clave de cifrado única derivada de la contraseña maestra de cada usuario. Cabe recordar que LastPass nunca sabe las contraseñas maestras de los usuarios finales, que no son almacenadas ni conservadas por LastPass, por lo que no forman parte de los datos filtrados.
- Copia de seguridad de la base de datos de la autenticación multifactor/federación de LastPass: contenía copias de valores de inicialización de LastPass Authenticator, números de teléfono utilizados para la opción de copia de seguridad MFA (si estaba activada) y también como componente de conocimiento dividido (la “clave” K2) utilizada para la federación de LastPass (si estaba activada). Esta base de datos estaba cifrada, pero la clave de descifrado guardada por separado figuraba entre los secretos robados por el atacante durante el segundo incidente.
- Boletín de seguridad: Acciones recomendadas para los clientes de LastPass Free, Premium y Families. Este boletín guía a los usuarios de estos planes en el proceso de revisión de ajustes importantes de LastPass para asegurarse de que están siguiendo las prácticas recomendadas para proteger su cuenta.
- Boletín de seguridad: Acciones recomendadas para administradores de LastPass Business. Este boletín explica a los administradores de nuestros clientes de Business y Teams cómo realizar una evaluación de riesgos de la configuración de su cuenta de LastPass e integraciones de terceros. Incluye información relevante tanto para los clientes federados como para los no federados.