Documento traducido directamente desde el post oficial de LastPass publicado el 01/03/2023
Actualización de incidentes de seguridad y acciones recomendadas
Quiero compartir con ustedes una actualización importante sobre el incidente de seguridad que revelamos el 22 de diciembre de 2022. Ahora hemos completado una investigación exhaustiva y no hemos visto ninguna actividad de amenaza desde el 26 de octubre de 2022.
Durante el curso de nuestra investigación, hemos aprendido mucho más sobre lo que sucedió y hoy compartimos nuevos hallazgos. Durante el mismo período, invertimos una cantidad significativa de tiempo y esfuerzo para fortalecer nuestra seguridad y mejorar las operaciones de seguridad en general. En la actualización de hoy, revisaré esas medidas y destacaré los pasos de seguridad adicionales que estamos tomando.
Esta actualización está estructurada de la siguiente manera:
- ¿Qué pasó y qué acciones tomamos?
- ¿A qué datos se accedió?
- ¿Qué medidas debe tomar para protegerse a sí mismo o a su empresa?
- Lo que hemos hecho para asegurar LastPass
- Qué puedes esperar de nosotros
Tenemos el privilegio de atender a millones de usuarios y más de 100 000 empresas, y queremos asegurarnos de que todos nuestros clientes tengan la información que necesitan para responder sus preguntas. Dado el volumen de información que compartimos hoy, hemos estructurado esta actualización con resúmenes que incluyen enlaces integrados para brindar información más detallada sobre cada tema.
Hemos escuchado y tomado en serio los comentarios que deberíamos haber comunicado con más frecuencia y de manera más completa a lo largo de este proceso. La duración de la investigación nos dejó con concesiones difíciles de hacer en ese sentido, pero entendemos y lamentamos la frustración que nuestras comunicaciones iniciales causaron tanto a las empresas como a los consumidores que confían en nuestros productos. Al compartir estos detalles adicionales hoy, y en nuestro enfoque en el futuro, estamos decididos a hacer lo correcto por nuestros clientes y comunicarnos de manera más efectiva.
Si prefiere pasar a revisar las acciones recomendadas de LastPass para proteger su cuenta o su empresa, haga clic aquí para consumidores o haga clic aquí para administradores de empresas.
¿QUÉ SUCEDIÓ Y QUÉ ACCIONES TOMAMOS?
Los dos incidentes que revelamos el año pasado afectaron a LastPass y a nuestros clientes. Ninguno de los incidentes fue causado por un defecto del producto de LastPass o por un acceso no autorizado o abuso de los sistemas de producción. Más bien, el actor de amenazas explotó una vulnerabilidad en el software de terceros, eludió los controles existentes y, finalmente, accedió a entornos de almacenamiento de copia de seguridad y desarrollo que no son de producción.
Hemos compartido información técnica, indicadores de compromiso (IOC) y tácticas, técnicas y procedimientos (TTP) de los actores de amenazas con las fuerzas del orden y nuestros socios forenses y de inteligencia de amenazas. Sin embargo, hasta la fecha, se desconoce la identidad del autor de la amenaza y su motivación. No ha habido contacto ni se han realizado demandas, y no se ha detectado actividad clandestina creíble que indique que el actor de la amenaza está activamente involucrado en la comercialización o venta de cualquier información obtenida durante cualquiera de los incidentes.
Resumen del incidente 1 : la computadora portátil corporativa de un ingeniero de software se vio comprometida, lo que permitió que el actor de amenazas no autorizado obtuviera acceso a un entorno de desarrollo basado en la nube y robara el código fuente, la información técnica y ciertos secretos del sistema interno de LastPass. No se tomaron datos de clientes ni de bóvedas durante este incidente, ya que no hay datos de clientes ni de bóvedas en el entorno de desarrollo. Declaramos cerrado este incidente, pero luego supimos que la información robada en el primer incidente se usó para identificar objetivos e iniciar el segundo incidente.
En respuesta al primer incidente, movilizamos a nuestros equipos de seguridad interna, así como recursos de Mandiant. Como parte del proceso de contención, erradicación y recuperación, llevamos a cabo las siguientes acciones:
- Se eliminó el entorno de desarrollo y se reconstruyó uno nuevo para garantizar la contención y erradicación total del actor de amenazas.
- Desplegó tecnologías y controles de seguridad adicionales para complementar los controles existentes.
- Rotó todos los secretos de texto sin cifrar relevantes utilizados por nuestros equipos y cualquier certificado expuesto.
Los detalles del primer incidente y nuestras acciones de remediación se pueden encontrar aquí .
Resumen del incidente 2 : el actor de la amenaza apuntó a un ingeniero senior de DevOps al explotar software vulnerable de terceros. El actor de amenazas aprovechó la vulnerabilidad para entregar malware, eludir los controles existentes y, en última instancia, obtener acceso no autorizado a las copias de seguridad en la nube. Los datos a los que se accedió desde esas copias de seguridad incluían datos de configuración del sistema, secretos de API, secretos de integración de terceros y datos de clientes de LastPass cifrados y no cifrados.
En respuesta al segundo incidente, nuevamente movilizamos a nuestro equipo de respuesta a incidentes y a Mandiant. Como parte de nuestras actividades continuas de contención, erradicación y recuperación relacionadas con el segundo incidente, hemos tomado las siguientes medidas:
- Analizó los recursos de almacenamiento basados en la nube de LastPass y aplicó políticas y controles adicionales.
- Analicé y modifiqué los controles de acceso privilegiado existentes.
- Secretos y certificados relevantes rotados a los que accedió el actor de amenazas.
Se pueden encontrar detalles adicionales del ataque y nuestras acciones de remediación aquí .
¿A QUÉ DATOS SE ACCEDIÓ?
Como se detalla en los resúmenes de incidentes, el actor de amenazas robó datos de propiedad de LastPass y datos de clientes, incluidos los siguientes:
Resumen de los datos a los que se accedió en el Incidente 1:
- Repositorios de código fuente y desarrollo bajo demanda basados en la nube: esto incluía 14 de 200 repositorios de software.
- Scripts internos de los repositorios: estos contenían certificados y secretos de LastPass.
- Documentación interna: información técnica que describe cómo funciona el entorno de desarrollo.
Resumen de los datos a los que se accedió en el Incidente 2:
- Secretos de DevOps: secretos restringidos que se utilizaron para obtener acceso a nuestro almacenamiento de respaldo basado en la nube.
- Almacenamiento de copias de seguridad basado en la nube: datos de configuración contenidos, secretos de API, secretos de integración de terceros, metadatos del cliente y copias de seguridad de todos los datos de la bóveda del cliente. Todos los datos confidenciales de la bóveda del cliente, excepto las URL, las rutas de archivo del software LastPass Windows o macOS instalado y ciertos casos de uso que involucran direcciones de correo electrónico, se cifraron con nuestro modelo de conocimiento cero y solo se pueden descifrar con una clave de cifrado única derivada del maestro de cada usuario. contraseña. Como recordatorio, LastPass nunca conoce las contraseñas maestras de los usuarios finales y LastPass no las almacena ni las mantiene; por lo tanto, no se incluyeron en los datos extraídos.
- Copia de seguridad de LastPass MFA/Base de datos de federación: contenía copias de semillas de LastPass Authenticator, números de teléfono utilizados para la opción de copia de seguridad de MFA (si está habilitada), así como un componente de conocimiento dividido (la «clave K2») utilizada para la federación de LastPass (si está habilitada) . Esta base de datos estaba cifrada, pero la clave de descifrado almacenada por separado se incluyó en los secretos robados por el actor de amenazas durante el segundo incidente.
Puede encontrar información detallada sobre los datos de clientes específicos afectados por estos incidentes aquí .
¿QUÉ MEDIDAS DEBE TOMAR PARA PROTEGERSE USTED O SU NEGOCIO?
Para ayudar mejor a nuestros clientes con sus propios esfuerzos de respuesta a incidentes, hemos preparado dos boletines de seguridad: uno para nuestros usuarios consumidores gratuitos, premium y familiares, y otro personalizado para nuestros usuarios comerciales y de equipos. Cada Boletín de seguridad incluye información diseñada para ayudar a nuestros clientes a proteger su cuenta de LastPass y responder a estos incidentes de seguridad de una manera que creemos que satisface sus necesidades personales o el entorno y el perfil de seguridad de su organización.
- Boletín de seguridad : Acciones recomendadas para LastPass Free, Premium y Families Este boletín guía a nuestros clientes de LastPass Free, Premium y Families a través de una revisión de la configuración importante de LastPass diseñada para ayudarlos a proteger sus cuentas al confirmar que se están siguiendo las mejores prácticas.
- Boletín de seguridad : Acciones recomendadas para LastPass Business Este boletín guía a los administradores de nuestros clientes Business y Teams a través de una evaluación de riesgos de las configuraciones de cuentas de LastPass y las integraciones de terceros. También incluye información relevante para clientes federados y no federados.
Si tiene alguna pregunta sobre las acciones recomendadas, comuníquese con el soporte técnico o con su equipo de éxito del cliente, quienes están listos para ayudarlo.
LO QUE HEMOS HECHO PARA ASEGURAR EL LASTPASS
Desde agosto, hemos implementado varias tecnologías de seguridad nuevas en nuestra infraestructura, centros de datos y entornos de nube para reforzar aún más nuestra postura de seguridad. Mucho de esto ya estaba planeado y se hizo en un tiempo récord, ya que habíamos comenzado estos esfuerzos antes del primer incidente.
También hemos priorizado e iniciado inversiones significativas en seguridad, privacidad y mejores prácticas operativas. Hemos realizado una revisión exhaustiva de nuestras políticas de seguridad e incorporado cambios para restringir el acceso y los privilegios, según corresponda. Completamos un análisis integral de los controles y configuraciones existentes, y realizamos los cambios necesarios para fortalecer los entornos existentes. También comenzamos el trabajo para expandir el uso del cifrado dentro de nuestra infraestructura de aplicaciones y copias de seguridad. Finalmente, hemos comenzado a buscar iniciativas arquitectónicas a más largo plazo para ayudar a impulsar la evolución de nuestra plataforma en LastPass.
Puede hacer clic aquí para ver una lista del trabajo que se ha completado y el trabajo que se encuentra actualmente en nuestra hoja de ruta de seguridad.
LO QUE PUEDE ESPERAR DE NOSOTROS EN EL ADELANTE
Desde nuestra publicación del 22 de diciembre, he hablado con muchos de nuestros clientes comerciales y consumidores. Reconozco la frustración de nuestros clientes con nuestra incapacidad para comunicarnos de manera más inmediata, más clara y más completa durante este evento. Acepto las críticas y asumo toda la responsabilidad. Hemos aprendido mucho y estamos comprometidos a comunicarnos de manera más efectiva en el futuro. La actualización de hoy es una demostración de ese compromiso.
Hace poco más de un año, GoTo y sus inversores anunciaron que LastPass se convertiría en una empresa independiente con un nuevo equipo directivo. Nuestro objetivo es desbloquear todo el potencial de la empresa y cumplir la promesa de construir la plataforma líder de administración de contraseñas empresariales. A fines de abril de 2022, me uní como CEO para ayudar a liderar este esfuerzo.
Durante los últimos ocho meses, hemos contratado nuevos líderes para ayudar a impulsar el crecimiento de la empresa y ejecutar una nueva estrategia. Nuestro nuevo equipo incluye veteranos reconocidos de la industria y líderes de las industrias de seguridad y tecnología. Como parte de la siguiente fase de crecimiento de la empresa, realizamos una asignación multimillonaria para mejorar nuestra inversión en seguridad para las personas, los procesos y la tecnología. Esta inversión impulsa nuestro compromiso de convertir a LastPass en una empresa líder en seguridad cibernética y garantizar que estamos en condiciones de protegernos a nosotros mismos y a nuestros clientes contra amenazas futuras.
Gracias por su comprensión, orientación y apoyo continuo.
Karim Toubba
CEO, LastPass
Finalmente quiero dejaros este enlace a una de nuestras entradas del blog.
0 comentarios