Forbes: Nuevo hack de LastPass confirmado: esto es lo que sabemos hasta ahora
El miércoles 30 de noviembre, el director ejecutivo de LastPass, Karim Toubba, confirmó que una parte no autorizada había obtenido acceso a "ciertos elementos de la información de nuestros clientes" dentro de un servicio de almacenamiento en la nube de terceros. La violación de datos fue posible, afirmó Toubba, gracias a la información obtenida de un incidente de piratería anterior en agosto este año. En ese momento, Toubba dijo que se había accedido a partes del código fuente y a cierta información técnica patentada de LastPass. Sin embargo, no está claro qué información específica permitió al actor de la amenaza obtener acceso al servicio de almacenamiento en la nube en la última infracción.
"Dada la gran cantidad de contraseñas que protege a nivel mundial, LastPass sigue siendo un gran objetivo", dijo Yoav Iellin, investigador principal de Silverfort, dice. “La compañía admitió que el actor de la amenaza obtuvo acceso utilizando información obtenida en el compromiso anterior. No está claro exactamente qué es esta información, pero normalmente, después de sufrir una infracción, la mejor práctica es que la organización genere nuevas claves de acceso y reemplace otras credenciales comprometidas. Esto garantiza que elementos como el almacenamiento en la nube y las claves de acceso a las copias de seguridad no se puedan reutilizar”.
