La investigación relacionada con el incidente de seguridad que sufrió LassPast ha finalizado y la compañía ha querido informar a los usuarios de sus resultados. Según ellos, el intruso solo logró acceder a su entorno de desarrollo durante cuatro días, así que ya no hay motivos para preocuparse.
“El 25 de agosto de 2022, le notificamos sobre un incidente de seguridad que se limitó al entorno de desarrollo de LastPass en el que se tomó parte de nuestro código fuente e información técnica . Quería informarles sobre la conclusión de nuestra investigación para brindar transparencia y tranquilidad a nuestras comunidades de consumidores y empresas,” empieza diciendo Karim Toubba, CEO de la compañía, en una actualización que amplía la información publicada el mes pasado.
Ninguna contraseña ha sido comprometida
Al parecer, como ya señalaron en agosto, el intruso solo accedió al código fuente del gestor de contraseñas, por lo que los datos de sus clientes se mantuvieron a buen recaudo. Al menos a esto apuntan las pesquisas a las que han llegado tras una investigación realizada junto a la firma de ciberseguridad Mandiant.
Por ello, han querido volver a enviar un mensaje de calma a sus usuarios, que no tienen nada que temer, ya que no hay ninguna evidencia de que sus contraseñas hayan sido filtradas. Y es que, como señalan, su entorno de desarrollo y su entorno de producción están físicamente separados, por lo que, de ningún modo, el ciberdelincuente podría acceder a los datos de este último.
En realidad, la compañía señala que ni siquiera los desarrolladores “tienen la capacidad de enviar el código fuente desde el entorno de desarrollo a la producción”; sino que solo un equipo de Build Release independiente puede hacerlo, tras una minuciosa revisión del código.
Asímismo, tampoco han encontrado ningún indicio de que el pirata informático haya realizado ninguna inyección de código malicioso en el código fuente de LassPast. Y, aunque esto fuera así, la mencionada separación entre su entorno de desarrollo y de producción evitaría riesgos, ya que, antes de subir el código a producción, el equipo Build Release tendría que hacer un análisis concienzudo de este.
Para más inri, explican que, evidentemente, el código fuente no incluye ningún dato de sus clientes. De hecho, según sus palabras, ni siquiera su herramienta puede acceder a las contraseñas maestras de sus clientes. Esto forma parte de un modelo de seguridad denominado «Zero Knowledge», es decir, de “Cero Conocimiento”.
El origen: una cuenta de desarrollador comprometida
Un detalle que sí que reveló su investigación es que el autor de los hechos solo consiguió tener acceso a sus sistemas durante cuatro días, tras los cuales detectaron la intrusión y lograron detenerle.
“Nuestra investigación reveló que la actividad del actor de amenazas se limitó a un período de cuatro días en agosto de 2022. Durante este período, el equipo de seguridad de LastPass detectó la actividad del actor de amenazas y luego contuvo el incidente. No hay evidencia de ninguna actividad de actor de amenazas más allá de la línea de tiempo establecida”, explica Karim Toubba.
Además, parecen haber descubierto cuál fue el origen del incidente. Todo parece apuntar a que el actor de amenazas logró comprometer la cuenta de un desarrollador, lo que le permitió acceder al entorno de desarrollo de LastPass.
Aún no saben de qué forma el ciberdelincuente consiguió obtener sus credenciales, pero si tienen claro que este fue capaz de usurpar su identidad durante cuatro días, después de que el desarrollador se autenticara con éxito mediante la autenticación multifactor.
Aunque aún quedan algunas incógnitas por descubrir, LassPast ya da por cerrada la investigación. Básicamente, con este mensaje, la intención de la compañía ha sido la de tranquilizar a sus clientes. Al menos, este incidente ha servido para que muchos de ellos conozcan un poco mejor el funcionamiento de la empresa.
Imagen de mohamed_hassan en Pixabay