El robo de contraseñas de Lastpass se inició en el PC doméstico de un empleado

🎃 ¡Rebajas de Halloween! ¡Office 2021 para siempre por sólo 29,11€/PC! [ Saber más ]

LastPass, que ya sufría las consecuencias de una brecha que puso datos de inicio de sesión parcialmente cifrados en manos de un ciberdelincuente, ha declarado que el mismo atacante pirateó el ordenador doméstico de un empleado y obtuvo una bóveda descifrada a la que sólo tenían acceso unos pocos desarrolladores de la empresa.

Aunque la intrusión inicial en LastPass finalizó el 12 de agosto, los responsables del gestor de contraseñas afirmaron que el autor de la amenaza «participó activamente en una nueva serie de actividades de reconocimiento, enumeración y exfiltración» entre el 12 y el 26 de agosto.

En el proceso, el desconocido actor de la amenaza fue capaz de robar credenciales válidas de un ingeniero senior de DevOps y acceder al contenido de una bóveda de datos de LastPass.

Entre otras cosas, la bóveda daba acceso a un entorno compartido de almacenamiento en la nube que contenía las claves de cifrado de las copias de seguridad de la bóveda de los clientes almacenadas en cubos de Amazon S3.

Esto se logró atacando el ordenador doméstico del ingeniero DevOps y explotando un paquete de software de terceros vulnerable, que habilitó la capacidad de ejecución remota de código y permitió al actor de la amenaza implantar malware keylogger

El actor de la amenaza fue capaz de capturar la contraseña maestra del empleado a medida que se introducía, después de que el empleado se autenticara con MFA, y obtener acceso a la bóveda corporativa de LastPass del ingeniero DevOps.

El ingeniero DevOps hackeado era uno de los cuatro empleados de LastPass con acceso a la bóveda corporativa.

 

Una vez en posesión de la bóveda descifrada, el actor de la amenaza exportó las entradas, incluidas las «claves de descifrado necesarias para acceder a las copias de seguridad de producción de LastPass en AWS S3, otros recursos de almacenamiento basados en la nube y algunas copias de seguridad de bases de datos críticas relacionadas.»

La actualización del lunes se produce dos meses después de que LastPass emitiera un comunicado que decía que, contrariamente a las afirmaciones anteriores, los atacantes habían obtenido datos de la bóveda de los clientes que contenían datos cifrados y en texto sin formato.

LastPass dijo entonces que el actor de la amenaza también había obtenido una clave de acceso al almacenamiento en la nube y claves de descifrado del contenedor de almacenamiento doble, lo que permitió copiar los datos de copia de seguridad de la bóveda del cliente desde el contenedor de almacenamiento cifrado.

Los datos de copia de seguridad contenían tanto datos sin cifrar, como URL de sitios web, así como nombres de usuario y contraseñas de sitios web, notas seguras y datos rellenados con formularios, que tenían una capa adicional de cifrado mediante AES de 256 bits.

Dejar un comentario

Tu dirección de e-mail nunca será publicada Los campos requeridos están marcados*

Esta web usa cookies para elaborar información estadística y mostrar publicidad personalizada.

Saber más