El servicio de gestión de contraseñas LastPass fue pirateado en agosto de 2022 y el atacante robó las contraseñas cifradas de los usuarios, según un comunicado de la empresa del 23 de diciembre. Esto significa que el atacante puede descifrar algunas contraseñas de sitios web de los usuarios de LastPass a través de suposiciones de fuerza bruta.
Aviso de incidente de seguridad reciente: el blog de LastPass#últimopashack #hack #ultimo pase #infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) 23 de diciembre de 2022
LastPass reveló por primera vez la brecha en agosto de 2022, pero en ese momento parecía que el atacante solo había obtenido el código fuente y la información técnica, no los datos del cliente. Sin embargo, la empresa investigó y descubrió que el atacante usó esta información técnica para atacar el dispositivo de otro empleado, que luego se usó para obtener claves de los datos del cliente almacenados en un sistema de almacenamiento en la nube.
Como resultado, los metadatos de clientes sin cifrar se han revelado al atacante, incluidos "los nombres de las empresas, los nombres de los usuarios finales, las direcciones de facturación, las direcciones de correo electrónico, los números de teléfono y las direcciones IP desde las que los clientes accedían al servicio de LastPass".
Además, se robaron las bóvedas cifradas de algunos clientes. Estas bóvedas contienen las contraseñas del sitio web que cada usuario almacena con el servicio LastPass. Afortunadamente, las bóvedas están encriptadas con una contraseña maestra, lo que debería evitar que el atacante pueda leerlas.
La declaración de LastPass enfatiza que el servicio utiliza encriptación de última generación para dificultar que un atacante lea los archivos de la bóveda sin conocer la contraseña maestra, afirmando:
“Estos campos cifrados permanecen protegidos con cifrado AES de 256 bits y solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario utilizando nuestra arquitectura Zero Knowledge. Como recordatorio, LastPass nunca conoce la contraseña maestra y LastPass no la almacena ni la mantiene”.
Aun así, LastPass admite que si un cliente ha usado una contraseña maestra débil, el atacante puede usar la fuerza bruta para adivinar esta contraseña, lo que le permite descifrar la bóveda y obtener todas las contraseñas del sitio web de los clientes, como explica LastPass:
“Es importante tener en cuenta que si su contraseña maestra no utiliza las [prácticas recomendadas que recomienda la empresa], entonces se reduciría significativamente la cantidad de intentos necesarios para adivinarla correctamente. En este caso, como medida de seguridad adicional, debe considerar minimizar el riesgo cambiando las contraseñas de los sitios web que tiene almacenados”.
¿Se pueden eliminar los hackeos del administrador de contraseñas con Web3?
El exploit de LastPass ilustra una afirmación que los desarrolladores de Web3 han estado haciendo durante años: que el sistema tradicional de inicio de sesión de nombre de usuario y contraseña debe desecharse en favor de los inicios de sesión de billetera blockchain.
Según los defensores de inicio de sesión de billetera criptográfica, los inicios de sesión con contraseña tradicionales son fundamentalmente inseguros porque requieren que los hash de las contraseñas se mantengan en servidores en la nube. Si estos hashes son robados, pueden ser descifrados. Además, si un usuario confía en la misma contraseña para varios sitios web, una contraseña robada puede dar lugar a la violación de todas las demás. Por otro lado, la mayoría de los usuarios no pueden recordar múltiples contraseñas para diferentes sitios web.
Para solucionar este problema se han inventado servicios de gestión de contraseñas como LastPass. Pero estos también dependen de los servicios en la nube para almacenar bóvedas de contraseñas cifradas. Si un atacante logra obtener la bóveda de contraseñas del servicio de administración de contraseñas, es posible que pueda descifrar la bóveda y obtener todas las contraseñas del usuario.
Las aplicaciones web3 resuelven el problema de una manera diferente. Utilizan carteras de extensión de navegador como Metamask o Trustwallet para iniciar sesión con una firma criptográfica, lo que elimina la necesidad de almacenar una contraseña en la nube.
Pero hasta ahora, este método solo se ha estandarizado para aplicaciones descentralizadas. Las aplicaciones tradicionales que requieren un servidor central actualmente no tienen un estándar acordado sobre cómo usar billeteras criptográficas para iniciar sesión.
Relacionado: Facebook recibe una multa de 265 millones de euros por filtrar datos de clientes
Sin embargo, una propuesta de mejora de Ethereum (EIP) reciente tiene como objetivo remediar esta situación. Llamada "EIP-4361", la propuesta intenta proporcionar un estándar universal para inicios de sesión web que funciona tanto para aplicaciones centralizadas como descentralizadas.
Si la industria Web3 acuerda e implementa este estándar, sus defensores esperan que toda la red mundial finalmente elimine los inicios de sesión con contraseña por completo, eliminando el riesgo de infracciones del administrador de contraseñas como la que sucedió en LastPass.
Fuente: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations