BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
🗞️

LastPass sufre un nuevo problema de seguridad y se filtra información de los usuarios

Bramante
6
LastPass

Llueve sobre mojado y la herramienta de gestión online de contraseñas LastPass sufre una nueva brecha de seguridad.

Según la nota publicada por la propia empresa, se detectó actividad inusual en un servicio de almacenamiento online que comparte con la que hasta hace poco era su matriz, GoTo (desarrolladores de LogMeIn entre otros productos).

Los atacantes, aprovechando información obtenida en el anterior incidente de seguridad que sufrió la compañía en agosto de 2022, han conseguido acceder a "…ciertos elementos de la información de nuestros usuarios…". Por el momento, no especifican qué datos han sido filtrados ni a cuántos usuarios alcanza la brecha.

Sí que aseguran que las contraseñas almacenadas en su servicio, no se han visto comprometidas.

Los detalles (pocos por el momento) se pueden encontrar en esta entrada de su blog.

lhacc
1

We have determined that an unauthorized party, using information obtained in the August 2022 incident, was able to gain access to certain elements of our customers’ information.

O sea que se dejaron claves de producción por ahí sueltas xDDDD

🗨️ 6
Bramante

Tiene pinta.

El historial de esta empresa ya no era bueno, pero llevan una temporadita…

🗨️ 5
lhacc
5

Es inexcusable que les pase eso en agosto, que sepan qué se filtró, y que no lo hayan peinado para ver si había claves. Qué cojones, es inexcusable que no hayan cambiado hasta la clave de entrada a la oficina una vez han detectado que han entrado a algún sitio, aunque sólo sea al portátil del bedel.

🗨️ 1
Bramante

Amén.

Walid

mae mia, y a donde nos mudamos?

🗨️ 2
Bramante
1

Yo hace ya unos años que me pasé a Bitwarden y, por ahora, contento.

🗨️ 1
solpedro1
solpedro1
PezDeRedes
1

Cualquiera se fía de este gestor de contraseñas. Una detrás de otra.

PeaceKappas

Bueno no es para tanto. No es como si se dedicaran a guardar contraseñas y otra información delicada.

Jav9i
1

Llevamos una racha que no levantamos, a ver cual es la siguiente empresa en recibir un ciberataque

🗨️ 2
electronics
1

Aquí porque vivimos en mundo del arco iris y de la piruleta, pero otros países están en guerra. Y ellos entienden la guerra bajo muchos frentes, no sólo el conflicto armado, también la guerra vía ciberataques.

🗨️ 1
vukits
1

atacar objetivos civiles de otro país, es acto de guerra, y crimen de guerra a la vez.

pero no creo que a ciertos países les importe mucho esto.

Amenhotep

No entiendo pagar por que otro custodie tus contraseñas cuando existe KeePass y KeePassXC gratis, para custodiarlas tu mismo.

🗨️ 3
PezDeRedes
2

Pero no sincronizan, te lo tienes que montar tú todo.

Para mi lo más adecuado es Bitwarden, open sorce y tú eliges si usas sus servidores para sincronizar o lo autohospedas.

🗨️ 2
alezz
2

Hombre, Keepass 2 en el PC con el plugin de Google Drive, Keepass2Android en el movil y tienes todo sincronizado, no es especialmente difícil.

pjpmosteiro

Resilio Sync o syncthing y a correr. Para noobs, como quien diría, Google Drive.

Perrico
1

Bitwarden corriendo en un docker en un NAS Synology propio es bien.

🗨️ 4
JGeek00

Ya y si por el motivo que sea no tienes conexión con el NAS?

🗨️ 3
Perrico
1

¿Y si no tienes datos en el móvil para acceder a 1Password? ¿Y si se avería el router? ¿Y si tu proveedor externo decide mañana cesar el servicio? ¿Y si …? Riesgos hay en todas.

Para mi, cualquier opción que no implique ceder mis contraseñas a terceros es mejor. Pero cada cual lo suyo, para eso hay opciones para todos.

🗨️ 1
JGeek00
1

Yo tengo claro que hay más posibilidades de que yo pierda datos autohosteados a que los pierda un tercero

Viladecunts

Al sincronizar guarda los datos encriptados localmente, por lo que a no ser que necesites una contraseña que acabes de cambiar, seguirá funcionando.

JGeek00

Yo uso 1Password. Pago unos 38€ al año. Siempre me ha ido bien.

🗨️ 1
PezDeRedes
2

Pues con Bitwarden tienes lo mismo, te ahorras 38 euros y encima es open source.

e-chus

Los almacenes de contraseñas son todos inseguros si se basan en UNA contraseña maestra.

El mejor almacén es el cerebro y por supuesto MFA (Autenticación de varios factores) en todos los sitios.

TODAS las contraseñas son inseguras incluida la maestra del almacén.

Los 3 pilares de la seguridad en MFA:

  • Algo que sabes ( EJ: Contraseña )
  • Algo que tienes ( EJ: Token SMS )
  • Algo que eres ( EJ: Huella dactilar )

P.S.: Ya se que hay sitios que aún no admiten MFA pero por suerte cada vez son menos.

🗨️ 3
PezDeRedes

Entramos en el debate de siempre, seguridad o comodidad.

Ejenplo: Yo no tengo siempre el móvil a mano para un 2FA, ni puedo poner una contraseña imposible en aquellos servicios en los que tengo que iniciar sesión rápido y aunque no tenga acceso a mi gestor.

🗨️ 2
e-chus

Hay 2FA que no requieren tener el móvil a mano como Windows Hello y su reconocimiento facial, lectores de huella para ordenador o Yubico YubiKey.

Estoy de acuerdo que es una lucha comodidad / seguridad pero yo me decanto por lo segundo sabiendo que el 90% de la gente es al revés

🗨️ 1
PezDeRedes

Yo, depende del servicio. Por ejemplo en Amazon tengo una contraseña imposible, generada aleatoriamente y muy larga. En un foro, paso, cualquier contraseña que no sea estándar me sirve.

como Windows Hello y su reconocimiento facial

La webcam está debidamente inhabilitada y tapada en mi portátil.

Jorgebcn

Estamos casi en 2023 y todavia nadie ha resuelto el problema de eliminar las constraseñas, no vale recordarlas de memoria haciendo un patron porque cada web pone la norma de la contraseña como le da la gana.

🗨️ 6
Jav9i

4 palabras aleatorias del diccionario y a fuerza bruta eso no lo rompe nadie, eso si, hay que tener un muy buen patrón

lhacc

¿Y por qué se iban a tener que eliminar las contraseñas?

🗨️ 4
lhacc

Uf, qué ganas tengo de tener que tener a mano mi móvil con una aplicación instalada por cada sitio que utilizo para obtener claves de un solo uso, o de tener que comprar llaves FIDO y llevarlas siempre encima, o…

🗨️ 1
PezDeRedes

Porque dependen de la capa 8, que tiene enromes vulnerabilidades no parcheables.

Ahriman

Yo uso KeePass y encantado.

radorn

yo uso una libreta de papel… a ver quien me la hackea

ah, y también procuro trasladar a internet las menos cosas posibles,

🗨️ 1
Bramante

yo uso una libreta de papel… a ver quien me la hackea

Si alguien logra obtener acceso a esa libreta, muchas skills de hacker no va a necesitar.

Honestamente, la veo la peor de las opciones.

Bramante

Han publicado el post mortem de la última incidencia que reportaron.

Básicamente, ha sido un buffet libre. Los malos se han llevado todo lo que han podido, desde datos en claro como correos electrónicos, direcciones físicas y números de teléfono entre otros hasta, la guinda del pastel, bóvedas de los usuarios, aunque estas iban cifradas con AES-256.

Vienen a decir que si tenías una contraseña decente, les llevará trillones de eones reventarla y bla bla bla, pero que si no estuviste fino, les puede costar algo menos.

Y por si quedaba algo para la coronación total, este ataque fue posible gracias a información que los atacantes obtuvieron en la incidencia de agosto.

Si hoy queda alguien usando este servicio, quizá deba plantearse abandonarlo cuanto antes, mejor.

Actualización de la brecha de seguridad en el blog de LastPass

🗨️ 2
PezDeRedes

Tienes un ciberataque, no cambias hasta la clave de la puerta del servicio, te vuelven a atacar y ahora sí que te roban hasta los empastes de las muelas… genial, estupendo. Espero que el equivalente a la AEPD en el país donde tenga su sede social esta empresa se encargue de empapelarlos bien empapelados.

Todo el mundo debería dejar de usar LastPass… ya es que no hay por dónde cogerlo.

Pero es que, según MC, el quid de la cuestión ha sido hacerse pasar por un empleado, osea, full trust a tope: si eres del cortijo, vía libre.

lhacc
1

Esto que ha pasado no es bonito, pero a efectos prácticos, no lo veo grave. Como usuario deberías considerar tu bóveda pública y tratarla como tal: algún día se filtrará, ya sea por hackeo, por culpa de un empleado descontento, o acabará en manos de la policía; más te vale que tenga una contraseña fuerte. Si tu bóveda tenía una contraseña fuerte, no tienes de qué preocuparte.

Lo grave habría sido que hubiesen conseguido modificar el software cliente y añadir una puerta trasera para desvelar las contraseñas sin cifrar a un tercero.

esj
1

Esta empres ya no es confiable, están muertos. Ojo, que han robado cientos de datos NO CIFRADOS cuando su única tarea era proteger esos datos, de locos!!

🗨️ 3
PezDeRedes

Gestor de contraseñas no open source = ni con un palo. Es un terreno en el que no me fío de "lo que dicen que hacen" si nadie lo puede verificar.

🗨️ 2
Bramante
2

Lo de LostPass va un paso más allá de confiar en lo que dicen hacer. Llega al punto de que, aunque manejasen opensource, si eres un irresponsable, la acabas jodiendo.

Uno de los desarrolladores senior utilizaba el equipo con el que trabajaba y en el que almacenaba las claves con las que accedía a los volúmenes de almacenamiento en AWS para mover Plex. Una versión de Plex con una brecha de seguridad que fue corregida hace ya años. Y pasó lo que tenía que pasar.

Si a este señor, desarrollador senior de un software que utilizaban cientos de miles de personas para mantener a salvo sus credenciales, le pareció buena idea el no respetar lo que dicta el mínimo sentido común y no usar el equipo de desarrollo para esa única y exclusiva función, ya podemos entender cómo han acabado en el barro.

Y eso solo es una muestra. La forma de trabajar de esta compañía no ha sido irresponsable, ha sido negligente.

🗨️ 1
sergio8o
1

¡Qué pena que no acabe arruinado o en una cárcel chunga!

pjpmosteiro

Dios, en que momento migré todo a KeePassXC en infraestructura propia, mae mia…