LastPass resetea contraseñas tras detectar anomalías de red

Mónica Tilves,

El administrador online ha notado signos de una potencial intrusión en sus servidores cuando revisaba de forma rutinaria sus registros y ya ha alertado a sus usuarios de la posibilidad de una violación de información privada. Como medida de precaución, está forzando el reinicio de las contraseñas maestras.

Una “anomalía” en el tráfico de red en dos servidores ha provocado que el administrador de contraseñas online LastPass haya notificado a sus clientes la existencia de una brecha de seguridad potencial que les obliga a cambiar inmediatamente sus claves.

Los administradores notaron esta anomalía, que duró unos pocos minutos, en una máquina “no crítica” el pasado martes, según se explica en el blog oficial de la compañía. Por lo general esto significa la actividad de un empleado o un script automatizado ejecutando un proceso, pero LastPass ha decidido “ser paranoico y asumir lo peor: que han accedido de alguna manera a la información almacenada en la base de datos”.

En marzo un investigador de seguridad encontró un error de "cross-site scripting" en el sitio web de LastPass, que ya ha sido subsanado
En marzo un investigador de seguridad encontró un error de "cross-site scripting" en la web de LastPass, que ya ha sido subsanado

Después de algunas indagaciones, el equipo descubrió otra anomalía pareja por la que se enviaba más tráfico de la base de datos en comparación con lo que realmente estaba recibiendo el servidor. Al medir la cantidad aproximada, se calculó que era lo suficientemente grande como para haber transferido correos electrónicos de los usuarios junto con los algoritmos “salt y salted”.

Estos bits de información generados aleatoriamente se combinan con una contraseña antes de generar un hash criptográfico y guardarlo en la base de datos. Usar un hash salt hace que sea más difícil para los atacantes forzar una contraseña, al tiempo que amplía el poder de almacenamiento y computación necesario para crear encriptaciones y tablas de búsqueda precalculadas. “Por desgracia no todo el mundo escoge una contraseña maestra que es inmune a los ataques de fuerza bruta”, se lamenta el equipo.

La empresa no tiene mucha información sobre lo que pasó o qué tipo de ataque ha sido utilizado. El servidor telefónico de código abierto Asterisk estaba “más abierto” para aceptar paquetes de lo que era necesario, pero no existen indicios de manipulación, de acuerdo con la compañía. Tampoco hay registros que indiquen una escalada de privilegios para ningún usuario de su base de datos.

LastPass está reconstruyendo los servidores en cuestión y ha comprobado el código fuente del sitio web y los plugins para asegurarse de que no se han modificado. Ahora lanzará PBKDF2 (Password-Based Key Derivation Function) con SHA-256, un conjunto de funciones de hash criptográfico diseñado por la Agencia de Seguridad Nacional de los Estados Unidos, para empezar a almacenar contraseñas hash con una salt de 256 bits.

Con el fin de contrarrestar la amenaza potencial, todo el mundo debe cambiar sus contraseñas maestras y acreditar su identidad mediante el uso de una dirección IP que haya utilizado con anterioridad o mediante la validación de la dirección de su correo electrónico haciendo clic en el enlace enviado a esa dirección.