15 junio 2015

Lastpass... pwned?




Imagino que muchos de nuestros lectores habéis confiado la custodia de vuestras credenciales en el servicio en la nube LastPass

Los que no lo conozcáis (si es que hay alguien de este sector que no lo sepa), esta compañía lleva a la práctica la idea de poder acceder a tus contraseñas desde cualquier dispositivo, puesto que la nube las recuerda por tí, y todo ello cifrado con una contraseña maestra que sólo te sabes tú. 

¿Pinta genial, verdad?.... Excepto cuando ese servicio, o sus redes, se ve comprometido. 

Vía twitter, leo que en el blog de Lastpass han publicado una nota en la que se dice que desde el viernes pasado, detectaron una actividad anómala en su red. 

Aunque no está confirmado el alcance completo del incidente, indican que las direcciones de correo de usuarios, indicios recordatorios de contraseña, salts y hashes de autenticación sí que han sido comprometidos.

Las credenciales de los usuarios se cifran con el hash de la contraseña maestra del usuario, un salt aleatorio y 100.000 iteraciones de PBKDF2-SHA256

Lo que están recomendando a sus usuarios es que cambien inmediatamente la contraseña maestra, a fin de que se regenere todo de nuevo.

Esto podría implicar que las bases de datos de Have I Been Pwned? se vean nutridas con nuevos contenidos próximamente, sobre todo por aquellos que hayan tenido sus credenciales guardadas allí.

Como medidas proactivas, desde Lastpass están exigiendo confirmación de autenticación por email a todos aquellos usuarios que se estén dando de alta desde dispositivos no registrados anteriormente. 

En muchas charlas me habréis oido decir que soy "anti servicios en la nube", o que "las nubes son para los aviones". Obviamente, no soy usuario de Lastpass, y siempre he confiado en guardar mis contraseñas en local, utilizando KeePassx en un contenedor Truecrypt,... y por si acaso el disco duro de mi Mac, cifrado con Filevault2... Que sí, que todos ellos han tenido vulnerabilidades conocidas en su implementación en varias ocasiones, pero al menos sé que la llave la tengo yo.

Así que ya sabéis, usuarios de LastPass, corred a cambiar la contraseña maestra,... y, aunque desde LastPass digan lo contrario (qué te van a decir, claro) si yo fuera vosotros, me tomaría el trabajo de hacerlo en todas aquellas identidades que hayáis confiado en este servicio.

Edito para añadir, que se ve que no es la primera vez que detectan una anomalía en la red últimamente: https://blog.lastpass.com/2011/05/lastpass-security-notification.html/.

10 comments :

Ignacio Agulló dijo...

El plan perfecto para garantizar la INseguridad: ponga todos sus huevos en un cesto... y déjelo donde otros puedan llevárselo.

Ronny Vasquez dijo...

Yo utilizo keepass, es local, hay muchos ports para cualquier os en workstations o dispositivos moviles y no corro el riesgo de que comprometan ninguna nube xD

rod1 dijo...

Yo utilizo Lastpass desde hace años, y que avisen de que se comprometió, se refiere solo a que lograron acceder, pero claramente explicaron que no lograron obtener los registros cifrados de claves. Otras empresas simplemente se hubieran quedado callados, en lugar de avisar de la intrusión. No solo porque les ocurrió eso voy a salir corriendo quejándome por eso. Google tambien a sido comprometido con varias intrusiones, y no por eso dejamos de utilizar sus servicios.

Ramon Bevor dijo...

yo utilizo quarking password manager - extension chrome y su APP.La clave la genera la propia app y todo lo que está en la nube está encriptado con esa clave que solo tiene el usuario en su móvil, de esta manera aunque accedan a los servidores no hay nada que puedan obtener, lo que sí es importante hacerse una copia de dicha llave, porque si se pierde desde Quarking no pueden recordártela ni cambiarla.

Proinsias dijo...

¿Y qué opináis de 1password?

gnumax dijo...

Bueno la última vez que tuvieron una incidencia destacable fue en 2010 por lo que creo que la tasa de inseguridades para esta firma es más que aceptable. A cambio ofrecen un servicio muy robusto y competitivo frente a otros servicios similares.

Tatiana dijo...

Hola.

Tengo un problema,intento iniciar sesion en WhatsApp pero no me envia el codigo de verificacion ni por mensaje ni por llamada y yo espero un mensaje de un compañero en WhatsApp y es URGENTE que pueda iniciar sesion. He probado de reiniciar el movil por completo muchas veces y aun es peor,ahora me dice que espere 37h para que me llamen de nuevo y pueda iniciar sesion llamandome y dictandome el codigo de verificacion.¿QUE PUEDO HACER PARA INICIAR SESION ANTES DE 37H COMO ME PIDE WHATSAPP QUE ESPERE? MIL GRACIAS Y TODA AYUDA ES ACEPTADA Y AGRADECIDA.

susana dijo...

como tengo que poner para registrar un numero de barcelona pongo el prefijo 0034 y luego el numero pero me sale error.mi telefono es de USA gracias por favor necesito ayuda!!

Elisa dijo...

Ayudenme por favor ,ya me ingresaron el wasapp a mi smartfone samsug galayy note II pero ahora no puedo hacer llamads ni recibirlas de las personas que no tienen wasappno se que hacer ...gracias

wilmery dijo...

hola!, me ha llegado a mi telefono un codigo de whatsaap, mas abajo del sms decia que podia utilizar ese enlace para verificar mi telefono. mi duda es que cual es la razon de ese sms si yo no he utilizado ni he tenido la necesidad de ningun codigo de whatsapp, por lo que me pregunto si alguien ha tratado de hacer esto ( intentar registrarse con mi numero de whatsaapp), toma en cuenta que en ningun momento mi whatsapp a dejado de funcionar. solo quiero saber si lo han intentado: espero tu respuesta: