Screen Shot 2015-06-16 at 12.22.51 PM

En un blog post titulado “LastPass Security Notice“, LastPass nos ha notificado que ha tenido una brecha de seguridad, y que los hashes de autenticación, recordatorios y algunos e-mails han sido comprometidos. Cabe señalar que, a diferencia de lo que están reportando otros websites, las contraseñas NO han sido filtradas o robadas, sino los hashes. 

A pesar de ello, como medida de seguridad, es importante que la contraseña maestra sea cambiada por otra (teniendo en cuenta que los recordatorios e e-mails han sido filtrados) y si re-utilizan esta contraseña en otros websites, vale la pena cambiarla también.

Debido a la manera en la que LastPass cifra el contenido, la posibilidad de que a través de los hashes de autenticación sean descifrados y los passwords descubiertos es sumamente baja. Otra alternativa que recomiendo, una vez que hayan cambiado sus contraseñas, es activar la autenticación de dos pasos usando Authy (tal y como recomendamos en esta guía). Si utilizan Authy y la verificación de dos pasos, es casi imposible que puedan acceder a sus cuentas, debido a que Authy genera un código que se renueva cada 60 segundos que debe ser ingresado en nuevos dispositivos para ingresar a LastPass. 

Tampoco es necesario que cambien las contraseñas almacenadas en Lastpass, debido a que la data cifrada de Lastpass no ha sido comprometida. Pero sí vale la pena, como comentábamos en el párrafo anterior, cambiar el Master Password.

 

el mail que envió Lastpass:

 

Dear LastPass User,

We wanted to alert you that, recently, our team discovered and immediately blocked suspicious activity on our network. No encrypted user vault data was taken, however other data, including email addresses and password reminders, was compromised.

We are confident that the encryption algorithms we use will sufficiently protect our users. To further ensure your security, we are requiring verification by email when logging in from a new device or IP address, and will be prompting users to update their master passwords.

We apologize for the inconvenience, but ultimately we believe this will better protect LastPass users. Thank you for your understanding, and for using LastPass.

Regards,
The LastPass Team