El popular gestor de contraseñas, LastPass, confirma que sufrió el robo de contraseñas debido a que un empleado del equipo de DevOps fue hackeado.
La compañía confirmó el pasado mes de diciembre una brecha que permitió que ciberdelincuentes robasen datos de la bóveda de contraseñas parcialmente cifradas e información del cliente.
Ahora, LastPass ha explicado cómo se llevó a cabo este ataque, afirmando que usaron información robada en un incidente el pasado mes de agosto. Una información procedente de otra violación de datos y una vulnerabilidad de ejecución remota de código para instalar un registrador de teclas en el ordenador de un ingeniero senior de DevOps de la compañía.
Según apuntan, este segundo ataque coordinado usó los datos robados de la primera infracción para obtener acceso a los cubos cifrados de Amazon S3 de la empresa.
Como solo cuatro ingenieros de LastPass DevOps tenían acceso a estas claves de descifrado, los ciberdelincuentes hackearon el equipo de uno de los ingenieros del equipo de DevOps. En él instalaron el registrador de teclas explotando una vulnerabilidad de ejecución remota de código en un paquete de software de terceros.
En un aviso de seguridad publicado por la firma apuntan que el ciberdelincuente pudo capturar la contraseña del empleado después de autenticarse con múltiple factor de autenticación (MFA). Esto le dio acceso a la bóveda corporativa de LastPass del ingeniero de DevOps.
Posteriormente, este ciberdelincuente exportó las entradas nativas de la bóveda corporativa y el contenido de las carpetas compartidas, que contenían notas seguras cifradas con claves de acceso y descifrado necesarias para acceder a las copias de seguridad de producción de AWS S3, otros recursos de almacenamiento cloud y algunas copias de seguridad de bases de datos críticas relacionadas.
Un intruso en LastPass durante más de dos meses
El uso de credenciales válidas dificultó que los investigadores detectar esta actividad maliciosa que el ciberdelincuente aprovechó para acceder y robar datos de los servidores de almacenamiento en la nube de LastPass durante más de dos meses. En concreto, entre el 12 de agosto y el 26 de octubre de 2022.
Finalmente, LastPass detectó el comportamiento anómalo a través de AWS GuardDuty Alerts cuando el actor de amenazas intentó usar los roles de Cloud Identity and Access Management (IAM) para realizar actividades no autorizadas.
La compañía apunta que, desde entonces, ha actualizado su postura de seguridad, incluida la rotación de credenciales confidenciales y claves/tokens de autenticación, y la revocación de certificados.
Asimismo, también ha añadido registros y alertas y la aplicación de políticas de seguridad más estrictas.
Robo de datos críticos
LastPass también ha publicado información más detallada sobre los datos que se robaron en el ataque.
Según apunta, se trata de una amplia variedad de datos que van desde semillas de autenticación multifactor (MFA), secretos de integración de API de MFA y clave de componente de conocimiento dividido («K2») para clientes comerciales federados.
En el primer incidente, el ciberdelincuente accedió a repositorios de código fuente y desarrollo bajo demanda basados en la nube. En total, 14 de 200 repositorios de software.
Asimismo, también tuvo acceso a scripts internos de los repositorios, con certificados y secretos de LastPass; y documentación interna, con información técnica sobre cómo funciona el entorno de desarrollo.
En el segundo de los incidentes, el ciberdelincuente accedió a secretos de DevOps que usó para tener acceso al almacenamiento de respaldo en la nube.
Además, también accedió al almacenamiento de copias de seguridad cloud, con datos de configuración contenidos, secretos de API, secretos de integración de terceros, metadatos de clientes y copias de seguridad de todos los datos de la bóveda del cliente.
Todos los datos confidenciales de la bóveda del cliente, excepto las URL, las rutas de archivo del software LastPass Windows o macOS instalado y ciertos casos de uso que involucran direcciones de correo electrónico, se cifraron y solo se pueden descifrar con una clave derivada de la maestra de cada usuario.
Cabe recordar que LastPass nunca conoce las contraseñas maestras de los usuarios finales y no las almacena ni las mantiene; por lo tanto, no se incluyeron en los datos extraídos.
No obstante, es aconsejable que los usuarios de LastPass cambien de forma urgente su contraseña si no lo han hecho ya.
