LastPass revela la segunda infracción en tres meses



Un atacante que violó el entorno de desarrollo de program en LastPass este agosto y robó el código fuente y otros datos de propiedad de la empresa parece haber atacado nuevamente a la empresa de administración de contraseñas.

El miércoles, LastPass reveló que está investigando un incidente reciente en el que alguien que utilizó información obtenida durante la intrusión de agosto logró acceder al código fuente y a datos de clientes no especificados almacenados en un servicio de almacenamiento en la nube de un tercero no identificado. LastPass no reveló a qué tipo de datos de clientes podría haber accedido el atacante, pero sostuvo que sus productos y servicios seguían siendo completamente funcionales.

Actividad inusual

«Recientemente detectamos una actividad inusual dentro de un servicio de almacenamiento en la nube de un tercero, que actualmente comparten LastPass y su afiliado, GoTo». LastPass dijo. «Inmediatamente iniciamos una investigación, contratamos a Mandiant, una empresa de seguridad líder, y alertamos a las fuerzas del orden».

La declaración de LastPass coincidió con una de GoTo, también el miércoles, que se refería a lo que parecía ser el misma actividad inusual dentro del servicio de almacenamiento en la nube de terceros. Además, la declaración de GoTo describió la actividad como un impacto en su entorno de desarrollo, pero no ofreció más detalles. Al igual que LastPass, GoTo dijo que sus servicios de videoconferencia y colaboración permanecieron en pleno funcionamiento mientras investiga el incidente.

No está claro si la aparente violación del entorno de desarrollo de GoTo está relacionada de alguna manera con la intrusión de agosto en LastPass o si los dos incidentes están completamente separados. Ambas compañías se negaron a responder una pregunta de Darkish Studying sobre si los dos incidentes podrían estar relacionados.

La nueva brecha en LastPass sugiere que los atacantes pueden haber accedido a más datos de la empresa en agosto de lo que se pensaba anteriormente. LastPass ha notado previamente que el intruso en la brecha de agosto obtuvo acceso a su entorno de desarrollo al robar las credenciales de un desarrollador de software y hacerse pasar por esa persona. La compañía ha sostenido desde entonces que el actor de amenazas no obtuvo acceso a ningún dato de cliente ni a bóvedas de contraseñas encriptadas debido al diseño de su sistema y los controles que tiene implementados.

¿Fueron los controles de seguridad de LastPass lo suficientemente fuertes?

Esos controles incluyen una separación física y de crimson completa del entorno de desarrollo del entorno de producción y garantizar que el entorno de desarrollo no contenga datos de clientes ni bóvedas cifradas. LastPass también ha señalado que no tiene acceso a las contraseñas maestras de las bóvedas de los clientes, lo que garantiza que solo el cliente pueda acceder a ellas.

Michael White, director técnico y arquitecto principal de Synopsys Software program Integrity Team, dice que la práctica de LastPass de separar desarrollo y prueba y asegurarse de que no se utilicen datos de clientes en desarrollo/prueba son ciertamente buenas prácticas y están en línea con las recomendaciones.

Sin embargo, el hecho de que un actor de amenazas lograra obtener acceso a su entorno de desarrollo significa que potencialmente tenía la capacidad de causar mucho daño.

«La respuesta corta es que simplemente no podemos saber basándonos en lo que se ha dicho públicamente», dice White. «Sin embargo, si los sistemas de desarrollo afectados tienen acceso a herramientas internas comunes utilizadas para la creación y el lanzamiento de software, por ejemplo, repositorios de código fuente, sistemas de creación o almacenamiento de artefactos binarios, podría permitir un ataque para insertar una puerta trasera subrepticia en el código.»

Por lo tanto, el mero hecho de que LastPass haya separado el desarrollo y las pruebas de su entorno de producción no es garantía suficiente de que los clientes estuvieran completamente protegidos, dice.

LastPass solo ha confirmado que el actor de amenazas detrás de la violación de agosto accedió a su código fuente y alguna otra propiedad intelectual. Pero no está claro si el actor también podría haber causado otros daños, dicen los investigadores a Darkish Reading through.

Joshua Crumbaugh, CEO de PhishFirewall, dice que los entornos de desarrollo tienden a presentar objetivos fáciles para que los actores de amenazas inyecten código malicioso sin ser detectados. “Ese código malicioso es como encontrar una aguja que no sabes buscar en un pajar de agujas”, dice.

Los entornos de desarrollo también son conocidos por tener credenciales codificadas y por el almacenamiento inseguro de claves API, credenciales de usuario y otra información confidencial. «Nuestra investigación demuestra continuamente que los equipos de desarrollo son uno de los departamentos menos conscientes de la seguridad en la mayoría de las organizaciones», dice Crumbaugh. Agrega que la continuación de la violación de LastPass sugiere que no rastrearon completamente las acciones de los atacantes después de la primera violación.



Enlace a la noticia authentic