El hackeo de LastPass habría facilitado el robo de millones en criptoactivos

El 23 de septiembre del año pasado saltaba la liebre: LastPass, una de las firmas de gestión de contraseñas más conocidas, había sido objeto de un importante robo de datos con elevado riesgo de seguridad para sus usuarios. Aunque la información oficial no decía nada de eso. La compañía remoloneó a la hora de publicar un comunicado, pese a tener constancia del suceso en agosto, y cuando lo hizo fue de la forma más obtusa imaginable, pero con el tiempo la magnitud del asunto se hizo innegable. Ahora sabemos que dicha brecha habría sido explotada para robar millones en criptoactivos.

Según el experto en ciberseguridad Brian Krebs, varios investigadores han encontrado pruebas muy fiables que asocian la información extraída de LastPass con 150 víctimas de robo entre las que se incluirían empleados de firmas relacionadas con criptodivisas y NFT, inversores, programadores de protocolos y otros perfiles muy relevantes. No eran gente anónima. El atacante o los atacantes, fueran quienes fueran, filtraron la información y fueron directamente a por personas con carteras potencialmente jugosas.

En total, se habrían sustraído alrededor de 35 millones de dólares.


Taylor Monahanm, responsable de producto de la cartera MetaMask, ha investigado el asunto y cree tener el hilo conductor entre los robos y las brechas de seguridad de LastPass: casi todas las víctimas habían utilizado el gestor de contraseñas para almacenar la clave privada (la frase semilla o seed phrase) con la que protegían sus activos. Asimismo, los robos poseen una "firma única" que ha sido compartida con KrebsOnSecurity y que por razones de seguridad no ha divulgado públicamente.

LastPass, que ha sido víctima de al menos otro robo de información utilizando los datos descargados en el incidente de agosto, no ha querido responder a las preguntas de Krebs, limitándose a señalar que los hechos están siendo investigados por la justicia y son además objeto de un proceso judicial. "Alentamos a los investigadores a que compartan cualquier información útil que crean tener con nuestro equipo de Inteligencia de Amenazas", apostilla su mensaje.
Tener todas tus contraseñas almacenadas en un servidor. La verdad que es grandísima idea, no se podía saber que esto pudiera a suceder [qmparto]
Farkrok escribió:Tener todas tus contraseñas almacenadas en un servidor. La verdad que es grandísima idea, no se podía saber que esto pudiera a suceder [qmparto]


Si nos ponemos técnicos, todas las contraseñas que existen están almacenadas en algún servidor en alguna parte.
Rolod escribió:
Farkrok escribió:Tener todas tus contraseñas almacenadas en un servidor. La verdad que es grandísima idea, no se podía saber que esto pudiera a suceder [qmparto]


Si nos ponemos técnicos, todas las contraseñas que existen están almacenadas en algún servidor en alguna parte.

El punto, a nivel de seguridad, es que si tienes todo en un solo sitio y te roban te pegan el palo digital de tu vida.
No me convencen esos gestores de contraseñas y menos aún con la noticia.
Es lo que suele pasar, cuanto más quieres ocultar algo, mas detalles se acaban sabiendo con el tiempo.

¿Contraseñas? Conozco de un octogenario que las apunta en el crucigrama de los periódicos, como si estuviera hecho correctamente el pasatiempo. Cuando me enteré no me lo podía creer. A ver si alguien tiene narices de hackearle remotamente. [+risas]
Estaría bien saber cómo les entraron hasta la cocina para robarles toda la información.
Pero, ¿no se supone que estos servicios almacenan las contraseñas encriptadas con la contraseña maestra y "ni siquiera ellos pueden acceder a los datos privados de los usuarios"? Entiendo que las víctimas del robo tenían la contraseña maestra "123456" para que los hackers hayan podido acceder a ellas.
Rudy_Man escribió:Es lo que suele pasar, cuanto más quieres ocultar algo, mas detalles se acaban sabiendo con el tiempo.

¿Contraseñas? Conozco de un octogenario que las apunta en el crucigrama de los periódicos, como si estuviera hecho correctamente el pasatiempo. Cuando me enteré no me lo podía creer. A ver si alguien tiene narices de hackearle remotamente. [+risas]
Te subo la apuesta. La clave del banco apuntado en un listín telefónico de los de antes (típico librito pequeñito para apuntar contactos). La clave del BBVA, por ejemplo, en un contacto que se llama Bilbao, y en el que los cuatro últimos dígitos de ese teléfono corresponden al pin de la tarjeta (y el resto de números son inventados).

Viva la gente mayor [carcajad] [carcajad]
Farkrok escribió:Tener todas tus contraseñas almacenadas en un servidor. La verdad que es grandísima idea, no se podía saber que esto pudiera a suceder [qmparto]


Yo tengo todas en Bitwarden y si en algún momento es hackeado las claves vienen encriptadas... Ni la propia empresa tiene acceso a mis contraseñas sin mi contraseña maestra.
Supongo que tendrán un seguro de responsabilidad civil que cubrirá algo, 35 millones no pero algo sí
Llevo años usando SafeInCloud. Un gestor de contraseñas que almacena tus contraseñas en la nube de tu elección, y ojo, tiene que ser la tuya personal. Se vincula con una cuenta de Dropbox, de Google, Mega, Microsoft... O simplemente de manera local. Esta encriptado asi que ellos ni siquiera ven lo que tu tienes, solamente lo puedes ver tu con tu cliente, ah, y un solo pago, nada de suscripciones mensuales.
Hardware wallets i 2FA.
Doble autenticación en todo y contraseñas guardadas solo localmente con contraseña maestra de chorrocientos caracteres.

Cualquier otra cosa, es riesgo de que te jodan bien jodido
logame escribió:Doble autenticación en todo y contraseñas guardadas solo localmente con contraseña maestra de chorrocientos caracteres.

Cualquier otra cosa, es riesgo de que te jodan bien jodido


si tienes una contraseña maestra para abrir algo como keepass es mas que suficiente, DE TU PARTE, que a alguna empresa la hackeen y obtenga una contraseña tuya entonces si 2fa.
No se podia suponer :-|
El unico gestor de contraseñas bueno es el que no es online, ademas estando en un ordenador que no este conectado a internet. Vale usar un movil viejo ( un S5 o algo asi sin SIM) y el mismo es gestor de contraseñas, base de datos portatil, reproductor de musica, de radio Fm, bateria remplazable, infrarrojo, etc

Imagen
Farkrok escribió:Tener todas tus contraseñas almacenadas en un servidor. La verdad que es grandísima idea, no se podía saber que esto pudiera a suceder [qmparto]

Si sólo son las tuyas ni tan mal, pero toas las de milles (o millones?) de usuarios ... vamos, lo mas goloso que puede hacer para un hacker.

Jorgete-Terete escribió:Te subo la apuesta. La clave del banco apuntado en un listín telefónico de los de antes (típico librito pequeñito para apuntar contactos). La clave del BBVA, por ejemplo, en un contacto que se llama Bilbao, y en el que los cuatro últimos dígitos de ese teléfono corresponden al pin de la tarjeta (y el resto de números son inventados).

Pues en un banco suizo en el que trabaje, donde la privacidad de los mafi ... digo clientes que tenían ahí el dinero era extremadamente importante, el auditor de seguridad miraba mazo ese tipo de cosas, probaba todo lo que estaba escrito en todos los papeles que tenían los banqueros en los escritorios, de noche intentando loguearse en sus PCs ... los Tiger Attacks los llamaba, el lo disfrutaba cosa mala.
Jorgete-Terete escribió:
Rudy_Man escribió:Es lo que suele pasar, cuanto más quieres ocultar algo, mas detalles se acaban sabiendo con el tiempo.

¿Contraseñas? Conozco de un octogenario que las apunta en el crucigrama de los periódicos, como si estuviera hecho correctamente el pasatiempo. Cuando me enteré no me lo podía creer. A ver si alguien tiene narices de hackearle remotamente. [+risas]
Te subo la apuesta. La clave del banco apuntado en un listín telefónico de los de antes (típico librito pequeñito para apuntar contactos). La clave del BBVA, por ejemplo, en un contacto que se llama Bilbao, y en el que los cuatro últimos dígitos de ese teléfono corresponden al pin de la tarjeta (y el resto de números son inventados).

Viva la gente mayor [carcajad] [carcajad]


¡Me parto! [qmparto] [plas]
the_waterman escribió:
Farkrok escribió:Tener todas tus contraseñas almacenadas en un servidor. La verdad que es grandísima idea, no se podía saber que esto pudiera a suceder [qmparto]


Yo tengo todas en Bitwarden y si en algún momento es hackeado las claves vienen encriptadas... Ni la propia empresa tiene acceso a mis contraseñas sin mi contraseña maestra.


Eso decían los de Last Pass, que su seguridad era de primer nivel, todo cifrado y ni la propia empresa tiene acceso... pero sí los hackers, ¿Qué cosas, no?

Passbolt on-prem, en un sistema con lvm cifrado, detrás de un firewall por hardware y túnel IPSEC con filtrado de IP de origen, más un 2FA en el terminal de acceso. Y seguro, que encuentran por donde joderte si tienes algo de valor que robarte. No hay nada 100% seguro en tecnología, sólo sistemas que aún no ha merecido la pena reventar.
Invierte en cryptos decian. Es una inversion segura y descentralizada decían, que podría ir mal ?
agron escribió:
the_waterman escribió:
Farkrok escribió:Tener todas tus contraseñas almacenadas en un servidor. La verdad que es grandísima idea, no se podía saber que esto pudiera a suceder [qmparto]


Yo tengo todas en Bitwarden y si en algún momento es hackeado las claves vienen encriptadas... Ni la propia empresa tiene acceso a mis contraseñas sin mi contraseña maestra.


Eso decían los de Last Pass, que su seguridad era de primer nivel, todo cifrado y ni la propia empresa tiene acceso... pero sí los hackers, ¿Qué cosas, no?

Passbolt on-prem, en un sistema con lvm cifrado, detrás de un firewall por hardware y túnel IPSEC con filtrado de IP de origen, más un 2FA en el terminal de acceso. Y seguro, que encuentran por donde joderte si tienes algo de valor que robarte. No hay nada 100% seguro en tecnología, sólo sistemas que aún no ha merecido la pena reventar.

Está claro que esta gente sabía a por quien iba, en ese hackeo se llevarían una cantidad inimaginable de bases de datos de usuarios encriptadas (entre ellas la mia por ejemplo [+risas] ) a partir de ahí solo tienen que cribar y atacar por fuerza bruta a los que de verdad les interesan...
Por eso no es bueno almacenar las contraseñas en este tipo de servicios. Lo mejor es usar reglas mnemotécnicas y apuntarlas en papel, como ya han dicho algunos EOLianos más arriba.

neofonta escribió:Estaría bien saber cómo les entraron hasta la cocina para robarles toda la información.


¿No estarás pensando que alguien de dentro les vendió el acceso por "unas monedas"? Porque fue lo primero que se me vino a la cabeza XD
Rolod escribió:
Farkrok escribió:Tener todas tus contraseñas almacenadas en un servidor. La verdad que es grandísima idea, no se podía saber que esto pudiera a suceder [qmparto]


Si nos ponemos técnicos, todas las contraseñas que existen están almacenadas en algún servidor en alguna parte.


Si nos ponemos tecnicos, los hash de todas las contraseñas que existen estan almacenados en algun servidor en alguna parte.
Aún hay gente que invierte en cryptomonedas?
23 respuestas