LastPass desmiente que sus contraseñas se hayan visto comprometidas
LastPass, un famoso gestor de contraseñas que permite almacenar todas las credenciales de la web en una ubicación centralizada, y supuestamente de manera segura, se ha visto envuelto en unos rumores de robos de datos después de que algunos usuarios recibieran correos electrónicos de la empresa advirtiéndoles de intentos sospechosos de inicio de sesión que utilizaban su contraseña maestra.
Algunos usuarios también afirmaron que no habían compartido su contraseña con ninguna otra plataforma excepto LastPass, y pronto se extendieron las especulaciones de que la compañía podría haber sufrido una brecha de datos que expusiera las credenciales de inicio de sesión, permitiendo así que se produjera la actividad maliciosa.
Según la propia LastPass, realmente no ha existido ninguna brecha de seguridad, y todo se ha resumido en que se trata de una actividad irregular ligada a unos intentos de "relleno de credenciales" por parte de un actor desconocido. Así que, según la compañía, no han visto ninguna evidencia de que hayan filtrado los datos de los usuarios, o de que un hacker haya conseguido acceder a la cuenta de algún usuario.
"Como se ha dicho anteriormente, LastPass es consciente y ha estado investigando los informes recientes de usuarios que han recibido correos electrónicos alertando de intentos de inicio de sesión bloqueados.
Rápidamente trabajamos para investigar esta actividad y en este momento no tenemos indicios de que ninguna cuenta de LastPass haya sido comprometida por un tercero no autorizado como resultado de este relleno de credenciales, ni hemos encontrado ningún indicio de que las credenciales de LastPass de los usuarios hayan sido cosechadas por malware, falsas extensiones de navegador o campañas de phishing.
Sin embargo, por precaución, seguimos investigando en un esfuerzo por determinar lo que estaba causando los correos electrónicos de alerta de seguridad automatizados que se activan desde nuestros sistemas.
Nuestra investigación ha descubierto que algunas de estas alertas de seguridad, que se enviaron a un subconjunto limitado de usuarios de LastPass, probablemente se activaron por error. Como resultado, hemos ajustado nuestros sistemas de alerta de seguridad y este problema se ha resuelto.
Estas alertas se activaron debido a los esfuerzos continuos de LastPass para defender a sus clientes de los malos actores y de los intentos de relleno de credenciales. También es importante reiterar que el modelo de seguridad de conocimiento cero de LastPass significa que en ningún momento LastPass almacena, tiene conocimiento o acceso a las contraseñas maestras de los usuarios.
Seguiremos controlando regularmente la actividad inusual o maliciosa y, según sea necesario, seguiremos tomando medidas diseñadas para garantizar que LastPass, sus usuarios y sus datos permanezcan protegidos y seguros".