LastPass notifica a los usuarios sobre otra filtración de datos

 (9to5mac.com)
1 puntos por GN⁺ 5 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Los usuarios de LastPass recibieron una notificación indicando que datos personales y datos de casos de soporte quedaron expuestos por un incidente de seguridad en Klue, un socio externo
  • El alcance del acceso en este incidente se limitó a información de contacto comercial estándar, datos de CRM, datos de casos de soporte y datos relacionados con ventas; las bóvedas de contraseñas no se vieron afectadas
  • Entre los elementos expuestos se incluyen nombres de clientes, números de teléfono, direcciones de correo electrónico y direcciones físicas, y la plataforma de Klue está integrada con los sistemas de Salesforce y Gong
  • Tras detectar el incidente, LastPass revocó el acceso de empleados a Klue y reemplazó los tokens de API expuestos, además de notificar a las autoridades y realizar una investigación a través de Klue y Salesforce
  • La información de contacto filtrada podría usarse en ataques de phishing e ingeniería social, por lo que clientes y empresas deben revisar los indicadores de compromiso compartidos

El incidente en Klue y la respuesta de LastPass

  • LastPass envió un correo a los usuarios afectados por un incidente de seguridad ocurrido en la firma de investigación de mercado Klue
  • A través de la intrusión, los atacantes pudieron acceder a información de clientes y datos de casos de soporte
  • La información a la que se accedió se limitó a lo siguiente
    • nombres de clientes, números de teléfono, direcciones de correo electrónico y direcciones físicas
    • datos de gestión de relaciones con clientes (CRM)
    • datos de casos de soporte
    • datos relacionados con ventas
  • Las bóvedas de contraseñas de LastPass no se vieron afectadas en este incidente
  • La plataforma de Klue está integrada con los sistemas de Salesforce y Gong
  • Como respuesta al incidente, LastPass llevó a cabo medidas de contención e investigación
    • revocó el acceso de empleados a Klue
    • reemplazó los tokens de API expuestos
    • notificó a las autoridades
    • investigó el alcance del incidente en coordinación con Klue y Salesforce

Indicadores de compromiso y antecedentes de seguridad

  • Los clientes deben estar atentos a posibles ataques de phishing o intentos de ingeniería social que aprovechen la información filtrada
  • Se compartieron indicadores relacionados con los atacantes para que las empresas puedan buscar actividad vinculada en sus sistemas
    • direcciones IP:
      • 138.226.246[.]94
      • 94.154.32[.]160
      • 159.183.215[.]61
      • 159.183.181[.]239
    • dominios de correo del remitente:
      • baccarat.com[.]au
      • robinskitchen.com[.]au
      • house.com[.]au
  • LastPass ya ha pasado por varios incidentes de seguridad en el pasado
    • en 2015 se robaron correos electrónicos de cuentas, pistas de contraseña, hashes de autenticación y salts de cifrado, pero no hubo acceso a datos cifrados de las bóvedas
    • en 2022, atacantes comprometieron la cuenta de un desarrollador y robaron código fuente e información técnica; después usaron eso para acceder a respaldos en la nube que incluían registros de clientes y bóvedas de contraseñas cifradas
    • ese mismo incidente de 2022 también incluyó información no cifrada como nombres, direcciones de facturación, direcciones de correo electrónico y números de teléfono

Lecturas relacionadas

1 comentarios

 
GN⁺ 5 시간 전
Comentarios en Hacker News

  • Ya no sé quién puede confiar seriamente en LastPass
    Hace algunos años trabajé en una empresa que manejaba datos bancarios, y seguían usando LastPass incluso justo después del incidente de seguridad anterior de LastPass, sin planes de migrar

    • Muchas personas y organizaciones no usan productos de seguridad por la seguridad, sino por el teatro de seguridad
      Muchísima gente, incluso entre quienes se encargan de seguridad, probablemente ni siquiera se enterará de esta intrusión, así que para ellos LastPass sigue funcionando perfectamente
    • Si las contraseñas aún no se han dado a conocer, entonces esa “brecha” no es un fracaso desde el punto de vista del usuario final
      Si la contraseña maestra de la bóveda sigue segura, y la única forma de acceder a la bóveda sigue siendo esa contraseña maestra, entonces para el usuario final el producto sigue cumpliendo su función
      La palabra “brecha” no significa mucho sin contexto
    • He hecho bastante consultoría de seguridad para cientos de empresas, y las que realmente se toman la seguridad en serio suelen ser las que ya sufrieron una brecha
      Hasta que la dirección y la junta ven el impacto en costos de primera mano, nunca asignan el presupuesto necesario para un programa de seguridad solo por haber leído al respecto
      Eso no significa que por esa razón recomendaría LastPass, pero tampoco lo descartaría por completo solo por eso
    • No entiendo cómo alguien puede confiar en dejar todas sus contraseñas y claves de cifrado en manos de un tercero
      Configurar KeePassXC es muy sencillo

  • Hay muchas más empresas afectadas. Aquí abajo se enumeran algunas

    "Klue has not said how many of its hundreds of customers are affected. Several companies have come forward to confirm they had data stolen during the attack, including Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social, and Tanium."
    Cybercrime group Icarus took credit for the breach, saying on its leak site that it will publish the stolen data on Monday if the company does not pay the hackers’ ransom."
    https://techcrunch.com/2026/06/22/klue-hack-results-in-data-...

  • No entiendo por qué LastPass estaría entregando detalles de clientes a una empresa de investigación de mercado
    Ese tipo de datos debió haberse anonimizado por completo, sin nombres, sin direcciones específicas, etc.
    A quien me pide recomendaciones le sugiero KeepassXC y Keepass2Android. Son de código abierto, usan una base de datos local y tú eliges si quieres sincronizarla o no. Yo la sincronizo con Own cloud

    • Llevo años usando pwsafe
      También es gratis, de código abierto y con bóveda solo local. No dependes de un servicio en la nube que puede perder tus datos por incompetencia
      Opcionalmente puedes guardar la bóveda en Dropbox o iCloud Drive, pero no veo por qué habría que hacerlo

    • Any such data should have been fully anonymized: no names, no specific addresses, etc..
      ¿Y por qué habría que entregar esos datos en primer lugar?

  • https://blog.lastpass.com/posts/klue-supply-chain-incident-a...

    The information accessed was limited to standard business contact information and related customer relationship management (CRM) data, including customer names, phone numbers, email addresses, and physical addresses, as well as support case data and sales-related data.

  • Esto también puede ser peor en ciertos aspectos que usar LastPass, pero en los últimos años el 90% de mis contraseñas simplemente las genero y las olvido
    Solo guardo el 10% restante en un gestor de contraseñas. Si es un servicio poco importante, cada vez que inicio sesión simplemente uso “olvidé mi contraseña” para crear y cambiar una nueva

    • Esto funciona si la cuenta no tiene autenticación de dos factores
      En la última app de proyecto personal en la que trabajé, los usuarios podían iniciar sesión solo con una contraseña de un solo uso por correo electrónico
      Tiene desventajas de seguridad, como el phishing que te hace introducir una contraseña de un solo uso en un sitio falso, pero como era una app que no guardaba nada sensible, no lo veía como un gran riesgo de seguridad
    • Una vez tuve problemas porque ya no tenía acceso a un número de teléfono antiguo y los SMS de 2FA seguían llegando a ese número
    • Por eso muchos servicios se están moviendo a usar magic links por correo electrónico como método de inicio de sesión
      Al final, en muchos servicios tomar control del correo es prácticamente tomar control del inicio de sesión

  • Llevo años usando Enpass porque compré una licencia de por vida muy barata
    Enpass no aloja su propio servicio en la nube para sincronizar contraseñas; el usuario autentica un almacenamiento en la nube y sincroniza allí. Yo uso Google Drive
    Me parece un mejor enfoque. Si alguien malintencionado entra en mi cuenta de Google, de todos modos ya estoy acabado, y probablemente eso sería peor que entrar a mi gestor de contraseñas
    Además, no crea un gran montón centralizado de datos que sería un premio enorme en caso de brecha. Para robar todas las contraseñas de Enpass habría que hackear Google Drive, Dropbox, iCloud, etc., y luego buscar manualmente los archivos

    • ¿En qué se diferencia eso de KeePass, por ejemplo?

  • Es gracioso ver que otra vez se lanzan todos contra LastPass por otra brecha y dicen que es totalmente irresponsable entregar datos de clientes a terceros, pero si uno se detiene un momento a ver qué pasó realmente, la historia que algunos se cuentan en la cabeza y la realidad son bastante distintas
    Klue es uno de muchos servicios de gestión de relaciones con clientes que usan muchos equipos de ventas. Hay que pasarle correos de contacto de clientes, registros de clientes como finanzas, etc., para que Klue pueda ofrecer “inteligencia de mercado” o cosas parecidas sobre esos clientes
    Si vas con un equipo de ventas y revisas todas las cosas varias que tienen conectadas a sus sistemas, probablemente encontrarás más de lo mismo
    Independientemente de si eso es una buena idea, a mí me desagrada mucho, pero así es como trabajan hoy los equipos de ventas. Si intentas quitárselos, terminas peleando con toda la organización comercial
    Más bien me sorprende que estas brechas no ocurran más seguido
    La base de datos real de contraseñas de LastPass no se vio afectada
    No tengo relación con ninguna de las organizaciones involucradas

    • I am more surprised that these breaches don't happen more often.
      En realidad sí pasan seguido

  • Creo que ya es hora de que LastPass se cambie la marca a First0wned

  • Si una empresa siguió usando LastPass o lo adoptó después de la filtración de la bóveda, probablemente no le va a importar nada este caso porque “solo” se trata de datos de CRM
    Hasta cierto punto empatizo con las empresas que siguen usando LastPass. Cuando me tocó migrar una organización de LastPass a 1Password, fue un trabajo enorme y realmente fastidioso
    Pero me cuesta empatizar con cualquiera que haya elegido LastPass después de 2022

    • La parte poco importante aquí es que la sensibilidad de los datos es baja
      Lo realmente central es que, por más menor que sea, LastPass debería haberlo hecho mejor
      Una empresa que guarda contraseñas tiene que estar a un nivel más alto que este para merecer confianza

  • Hace mucho dejé LastPass y me pasé a BitWarden, pero ahora en general uso la app Passwords de Apple