Hace apenas tres semanas que desde LastPass admitieron el 25 de agosto que habían sufrido una brecha de seguridad, y que terceros sin autorizacion habían conseguido hackear el sistema y tener acceso a información sensible. Comenzó entonces una investigación a fondo del incidente, de la que el CEO de la compañía ofreció más información hace unos días mediante la publicación de un comunicado en su web.

En el comunicado se asegura que los atacantes no consiguieron acceder a los datos de los usuarios, por lo que la información de quienes usan este popular gestor de contraseñas no ha quedado comprometida. Eso sí, queda confirmado que los delincuentes consiguieron acceso a los sistemas de la empresa durante cuatro días, durante los cuales consiguieron acceso a diversos sistemas, información técnica e incluso al código fuente del programa.

El acceso, eso sí, quedó limitado al entorno de desarrollo del servicio de gestión de contraseñas, que no tiene nada que ver con los datos de usuarios. Por otro lado, ni siquiera LastPass tiene acceso a las contraseñas maestras de los usuarios, las que se necesitan para descifrar sus datos.

La compañía ha contado en la investigación con el apoyo de los expertos de seguridad de Mandiant, y aparte de los datos mencionados, ha establecido que el sistema de acceso que utilizó el atacante fue el equipo de un desarrollador. La investigación no ha podido determinar qué método utilizó el atacante para acceder a los sistemas del desarrollador.

Después de conseguir acceso a sus sistemas engañó a terceros haciéndoles creer que se trataba de él después de acceder con éxito al sistema del desarrollador, a pesar de que tenía activada la autenticación mediante varios factores.

LastPass ha hecho también una comprobación de la integridad de su código fuente. Para ello lo analizaron, junto con las versiones del mismo que están en producción. El resultado del análisis señala que no hay evidencias de intentos de inyección de código malicioso ni de corrupción del código.

Además, la compañía ha asegurado que los desarrolladores no tienen capacidad para pasar el código fuente del entorno de desarrollo al de producción. Esta capacidad está limitada a un equipo dedicado a las versiones de lanzamiento, y solo puede darse después de una revisión rigurosa del código, unas pruebas y varios procesos de validación.

Fuente info
Autor: Celia Valdeolmillos