Una “anomalía” en el tráfico de red en dos servidores ha provocado que el administrador de contraseñas online LastPass haya notificado a sus clientes la existencia de una brecha de seguridad potencial que les obliga a cambiar inmediatamente sus claves.
Los administradores notaron esta anomalía, que duró unos pocos minutos, en una máquina “no crítica” el pasado martes, según se explica en el blog oficial de la compañía. Por lo general esto significa la actividad de un empleado o un script automatizado ejecutando un proceso, pero LastPass ha decidido “ser paranoico y asumir lo peor: que han accedido de alguna manera a la información almacenada en la base de datos”.
Después de algunas indagaciones, el equipo descubrió otra anomalía pareja por la que se enviaba más tráfico de la base de datos en comparación con lo que realmente estaba recibiendo el servidor. Al medir la cantidad aproximada, se calculó que era lo suficientemente grande como para haber transferido correos electrónicos de los usuarios junto con los algoritmos “salt y salted”.
Estos bits de información generados aleatoriamente se combinan con una contraseña antes de generar un hash criptográfico y guardarlo en la base de datos. Usar un hash salt hace que sea más difícil para los atacantes forzar una contraseña, al tiempo que amplía el poder de almacenamiento y computación necesario para crear encriptaciones y tablas de búsqueda precalculadas. “Por desgracia no todo el mundo escoge una contraseña maestra que es inmune a los ataques de fuerza bruta”, se lamenta el equipo.
La empresa no tiene mucha información sobre lo que pasó o qué tipo de ataque ha sido utilizado. El servidor telefónico de código abierto Asterisk estaba “más abierto” para aceptar paquetes de lo que era necesario, pero no existen indicios de manipulación, de acuerdo con la compañía. Tampoco hay registros que indiquen una escalada de privilegios para ningún usuario de su base de datos.
LastPass está reconstruyendo los servidores en cuestión y ha comprobado el código fuente del sitio web y los plugins para asegurarse de que no se han modificado. Ahora lanzará PBKDF2 (Password-Based Key Derivation Function) con SHA-256, un conjunto de funciones de hash criptográfico diseñado por la Agencia de Seguridad Nacional de los Estados Unidos, para empezar a almacenar contraseñas hash con una salt de 256 bits.
Con el fin de contrarrestar la amenaza potencial, todo el mundo debe cambiar sus contraseñas maestras y acreditar su identidad mediante el uso de una dirección IP que haya utilizado con anterioridad o mediante la validación de la dirección de su correo electrónico haciendo clic en el enlace enviado a esa dirección.
Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…
Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…
Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…
Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.
Ya cuenta en su poder con más del 90 % de las acciones del proveedor…
Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…