Airear esta noticia es recordarte lo cerca que siempre estamos de que suceda, no solo por deficiencias propias de los usuarios, si no también de quienes deben garantizar la seguridad adicional. Digo si bien hay "errores" predecibles de parte de una gran mayoría de usuarios, la panacea es una segunda capa de seguridad, pero si esta se viola, aparecen las debilidades típicas, no hay perdón en usar la pereza "passwordiacas".
La fuerza bruta en definitiva se fortalece con ese desatino.
Topic: Un par de hackeos a compañías que nos ayudan en nuestra seguridad (Read 216 times)
October 30, 2023, 10:53:03 AM
Puede que la master password de algunos usuarios fuese la misma que algún otro dato ya accesible por parte de los hackers en la copia de la BD del 2022, aunque esto es especulación mía al respecto.
Tiene sentido, la mayoría de los usuarios son flojos al momento de elegir sus contraseñas, adicional con los Miles de passwords lackeados por internet, es posible que muchos usuarios estén usando passwords que ya circulan ahí.
Por eso es mejor un administrador de password local y no uno centralizado, aunque también tiene sus riesgos, imagina pierdes tus llaves y tú backup y te quedas sin passwords ( peligro igual de latente en los gestores centralizados, Lasspass, 1password, Google).
Saludos
October 30, 2023, 07:09:12 AM
El artículo abajo referenciado indica que unos 25 usuarios de LastPass llegaron a perder un contravalor agregado de 4M $ en criptomonedas, debido a que almacenaban sus semillas en el aplicativo. Estos son casos sólo una parte de los casos, habiendo estimaciones que sitúan la cifra real muy superior, entorno a un equivalente de 35M $ (150++ usuarios).
Y eso que se dijo que no, que no había manera de acceder a las notas que estaban protegidas con 256-bit AES al protegerse con una master password local. Puede que la master password de algunos usuarios fuese la misma que algún otro dato ya accesible por parte de los hackers en la copia de la BD del 2022, aunque esto es especulación mía al respecto.
Ver:
https://es.beincrypto.com/lastpass-violacion-de-seguridad-roban-criptomonedas/
Y eso que se dijo que no, que no había manera de acceder a las notas que estaban protegidas con 256-bit AES al protegerse con una master password local. Puede que la master password de algunos usuarios fuese la misma que algún otro dato ya accesible por parte de los hackers en la copia de la BD del 2022, aunque esto es especulación mía al respecto.
Ver:
https://es.beincrypto.com/lastpass-violacion-de-seguridad-roban-criptomonedas/
December 25, 2022, 12:11:39 PM
En relación al incidente de Lastpass reflejado en el OP, aunque han pasado ya varios meses desde los sucesos, siguen saliendo algunos detalles al respecto que parecen extender el alcance del incidente.
Si bien se hablaba en agosto de que a lo que habían logrado acceder los hackers eran partes del código mediante un cuenta de desarrollador, sin acceso a datos de clientes, hace un par de días indicaron que, de manera derivada, los hackers también lograron hacerse con una copia de seguridad de los datos de producción, conteniendo datos básicos de las cuentas de los clientes (nombres de compañías o personas físicas, dirección, email, teléfono e IPs de acceso a Lastpass).
A su vez, también lograron hacerse con una copia de seguridad del Customer Vault, albergando datos tanto encriptados como no encriptados relativos a URLs protegidas, además de nombres de usuario, contraseñas y notas de seguridad encriptados con 256-bit AES (se supone). Los campos encriptados sólo se pueden desencriptar con la master password de usuario, la cual no almacenan en su sistema según indican.
Según lo anterior, a mi parecer, parece posible que se los hackers puedan identificar qué webs son accedidas por un usuario determinado (por eso se tiene su url en el gestor de contraseñas), y con los datos de contacto, realizar ejercicios de phishing muy targetizados. También pueden realizar ejercicios de intentar adivinar la contraseña maestra mediante fuerza bruta, sobretodo en cuentas con contraseñas débiles.
Como muchas personas usan gestores de contraseña, existe un riesgo claro en cómo estos protegen los datos de los clientes. Tengamos presente que accesos bancarios, a comercios, y a criptomonedas son de los casos de uso típico a proteger …
Ver:
https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
https://news.bitcoin.com/lastpass-data-breach-frightens-users-some-say-hack-may-be-worse-than-they-are-letting-on/
Edit:
Ya hay reclamaciones legales por supuestas pérdidas derivadas:
https://cointelegraph.com/news/lastpass-data-breach-led-to-53k-in-bitcoin-stolen-lawsuit-alleges
Si bien se hablaba en agosto de que a lo que habían logrado acceder los hackers eran partes del código mediante un cuenta de desarrollador, sin acceso a datos de clientes, hace un par de días indicaron que, de manera derivada, los hackers también lograron hacerse con una copia de seguridad de los datos de producción, conteniendo datos básicos de las cuentas de los clientes (nombres de compañías o personas físicas, dirección, email, teléfono e IPs de acceso a Lastpass).
A su vez, también lograron hacerse con una copia de seguridad del Customer Vault, albergando datos tanto encriptados como no encriptados relativos a URLs protegidas, además de nombres de usuario, contraseñas y notas de seguridad encriptados con 256-bit AES (se supone). Los campos encriptados sólo se pueden desencriptar con la master password de usuario, la cual no almacenan en su sistema según indican.
Según lo anterior, a mi parecer, parece posible que se los hackers puedan identificar qué webs son accedidas por un usuario determinado (por eso se tiene su url en el gestor de contraseñas), y con los datos de contacto, realizar ejercicios de phishing muy targetizados. También pueden realizar ejercicios de intentar adivinar la contraseña maestra mediante fuerza bruta, sobretodo en cuentas con contraseñas débiles.
Como muchas personas usan gestores de contraseña, existe un riesgo claro en cómo estos protegen los datos de los clientes. Tengamos presente que accesos bancarios, a comercios, y a criptomonedas son de los casos de uso típico a proteger …
Ver:
https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
https://news.bitcoin.com/lastpass-data-breach-frightens-users-some-say-hack-may-be-worse-than-they-are-letting-on/
Edit:
Ya hay reclamaciones legales por supuestas pérdidas derivadas:
https://cointelegraph.com/news/lastpass-data-breach-led-to-53k-in-bitcoin-stolen-lawsuit-alleges
August 28, 2022, 11:07:54 AM
1. Authy (por medio de Twilio)
Quién no utiliza 2FA allá donde puede para proteger sus cuentas en mayor grado, y si puede ser, mediante algo que no sea el email o un SMS. Hablo de gestores 2FA del estilo de Authy, Google Authenticator, Lastpass, Aegis y demás.
Recientemente, hemos sabido que la compañía Twilio, utilizada por múltiples compañías para gestionar los contactos con sus clientes mediante email, SMS, Whatsapp, entre otros, fue hackeada, nuevamente por lo que parece a través de un phishing realizado a empleados de la compañía. Como resultado, los hackers lograron hacerse con datos de los clientes de 163 compañías clientes de Twilio, sin detallarse si los descargaron o se dedicaron a manipular el entorno de Twilio para impersonar la compañía hackeada.
Aunque no han trascendido más que un par de nombre de las compañías afectadas, entre ellas está Authy, uno de los proveedores más populares de 2FA. En su caso, los hackers aparentemente lograron enviarse un código de autentificación desde la plataforma de Twilio, emulando ser Authy quien se lo enviaba para validar un nuevo dispositivo.
Authy es multidispositivo, y replica la BD en ellos de manera que puedes acceder, por ejemplo, desde un iphone y un Android. Para añadir un nuevo dispositivo, el usuario solicita hacerlo y se le envía un SMS (desde la plataforma Twilio en este caso) con un código para completar el proceso de alta del dispositivo en Authy. Los hackers emularon este proceso en nombre de 93 clientes finales concretos, por lo que obtuvieron una réplica de todos sus códigos 2FA, y la posibilidad de utilizarlos operativamente. Vamos, que los hackers lograron, para estas 93 personas, pretender que eran éstas a efectos de 2FA.
Ver:
https://www.wired.com/story/twilio-breach-phishing-supply-chain-attacks/
https://www.bleepingcomputer.com/news/security/twilio-breach-let-hackers-gain-access-to-authy-2fa-accounts/
2. LastPass (gestor de contraseñas)
Probablemente utilices algún gestor de contraseñas para poder gestionar la multitud de contraseñas que uno debe guardar hoy en día, sin tener que recurrir a tener una memoria de elefante ni a replicar las mismas contraseñas en múltiples sitios (Exchanges, wallets cripto, bancos, plataformas de pagos, comercios electrónicos, etc.). Lastpass, 1Password, Keeper, Dashlane, Bitwarden, Keepass son algunas de las opciones al respecto.
En esta ocasión ha sido LastPass la que ha sufrido un hackeo. Sin detallarse el proceso en exceso, parece que los hackers lograron hacerse con las credenciales de una cuenta de uno de los desarrolladores, y bajarse partes del código fuente del programa.
La compañía indica que no hay evidencias de que hubiesen accedido a datos de clientes o a los passwords encriptados. El master password no se almacena en su entorno, sino que parece ser local de cada usuario. Luego a priori no se tiene acceso por parte de los hackers a los datos de las contraseñas de los usuarios.
Ver: https://www.bleepingcomputer.com/news/security/lastpass-developer-systems-hacked-to-steal-source-code/
Quién no utiliza 2FA allá donde puede para proteger sus cuentas en mayor grado, y si puede ser, mediante algo que no sea el email o un SMS. Hablo de gestores 2FA del estilo de Authy, Google Authenticator, Lastpass, Aegis y demás.
Recientemente, hemos sabido que la compañía Twilio, utilizada por múltiples compañías para gestionar los contactos con sus clientes mediante email, SMS, Whatsapp, entre otros, fue hackeada, nuevamente por lo que parece a través de un phishing realizado a empleados de la compañía. Como resultado, los hackers lograron hacerse con datos de los clientes de 163 compañías clientes de Twilio, sin detallarse si los descargaron o se dedicaron a manipular el entorno de Twilio para impersonar la compañía hackeada.
Aunque no han trascendido más que un par de nombre de las compañías afectadas, entre ellas está Authy, uno de los proveedores más populares de 2FA. En su caso, los hackers aparentemente lograron enviarse un código de autentificación desde la plataforma de Twilio, emulando ser Authy quien se lo enviaba para validar un nuevo dispositivo.
Authy es multidispositivo, y replica la BD en ellos de manera que puedes acceder, por ejemplo, desde un iphone y un Android. Para añadir un nuevo dispositivo, el usuario solicita hacerlo y se le envía un SMS (desde la plataforma Twilio en este caso) con un código para completar el proceso de alta del dispositivo en Authy. Los hackers emularon este proceso en nombre de 93 clientes finales concretos, por lo que obtuvieron una réplica de todos sus códigos 2FA, y la posibilidad de utilizarlos operativamente. Vamos, que los hackers lograron, para estas 93 personas, pretender que eran éstas a efectos de 2FA.
Ver:
https://www.wired.com/story/twilio-breach-phishing-supply-chain-attacks/
https://www.bleepingcomputer.com/news/security/twilio-breach-let-hackers-gain-access-to-authy-2fa-accounts/
2. LastPass (gestor de contraseñas)
Probablemente utilices algún gestor de contraseñas para poder gestionar la multitud de contraseñas que uno debe guardar hoy en día, sin tener que recurrir a tener una memoria de elefante ni a replicar las mismas contraseñas en múltiples sitios (Exchanges, wallets cripto, bancos, plataformas de pagos, comercios electrónicos, etc.). Lastpass, 1Password, Keeper, Dashlane, Bitwarden, Keepass son algunas de las opciones al respecto.
En esta ocasión ha sido LastPass la que ha sufrido un hackeo. Sin detallarse el proceso en exceso, parece que los hackers lograron hacerse con las credenciales de una cuenta de uno de los desarrolladores, y bajarse partes del código fuente del programa.
La compañía indica que no hay evidencias de que hubiesen accedido a datos de clientes o a los passwords encriptados. El master password no se almacena en su entorno, sino que parece ser local de cada usuario. Luego a priori no se tiene acceso por parte de los hackers a los datos de las contraseñas de los usuarios.
Ver: https://www.bleepingcomputer.com/news/security/lastpass-developer-systems-hacked-to-steal-source-code/
Jump to: