El gestor de contraseñas LastPass no está pasando por su mejor momento. En 2022 ha sufrido dos grandes ataques a sus servidores, uno en el mes de agosto y otro hace apenas unas semanas. Esto sin duda es un gran problema, ya que como clientes confiamos en este tipo de servicios para poder almacenar nuestras contraseñas de manera segura, pero después vemos como uno de los más grandes termina hackeado.

A priori, en ambos ataques se informó que las contraseñas estaban completamente a salvo gracias a las barreras de seguridad que se integran en sus sistemas. Pero tras investigar en profundidad, LastPass ha confirmado a través de una actualización en la entrada de su blog que se sustrajo una copia de seguridad de una de sus bóvedas en el ataque. Esto hace que salten todas las alarmas, pues en estas bóvedas se encuentran las contraseñas de los clientes.

Las bóvedas están encriptadas, pero la fuerza bruta puede ser usada

En esta entrada se informa de que la caché de las bóvedas se almacena en un formato binario patentado que tiene datos de la bóveda tanto cifrados como sin cifrar. Estos datos fueron robados gracias al acceso a una de las claves de los empleados de la empresa, lo que daba alas a los ciberdelincuentes a acceder a la información de los servidores sin demasiada complicación.

En un primer momento, se afirmó que todas las contraseñas de las bóvedas están …