Revisa tus contraseñas de Lastpass
Meta paga multa millonaria, Microsoft responde a la FTC y es hora de revisar nuestras contraseñas en Lastpass.
Puedes encontrar las versiones tanto en audio como en video de este contenido en sus respectivas ligas.
Noticias
ByteDance confirmó un informe del New York Times de que algunos empleados rastrearon a varios periodistas y asociados en TikTok, obteniendo direcciones IP y datos de usuarios. Estos empleados buscaron la superposición de ubicaciones conocidas de otros empleados de ByteDance sospechosos de filtrar información. Según reportes, esta vigilancia incluyó a periodistas de Forbes, Buzzfeed y el Financial Times. Un portavoz de ByteDance dijo que “la mala conducta de ciertas personas, que ya no trabajan en ByteDance, fue un abuso atroz de su autoridad para obtener acceso a los datos de usuarios.
Twitter empezó a implementar el Conteo de Vistas en Android y iOS, el cual mostrará públicamente cuántas vistas tiene un tweet, de manera similar a como muestra las visualizaciones en videos. El análisis de tweets de Twitter ya muestra las impresiones totales de un tweet a un usuario de forma privada. Se espera pronto soporte este Conteo de Vistas en la versión web.
Meta accedió a pagar un acuerdo de $275 millones de dólares en una demanda colectiva que acusa a la compañía de permitir que terceros, como Cambridge Analytics, accedieran a la información personal de usuarios. El acuerdo aún necesita aprobación de la corte. En 2019, Meta acordó pagar $5 mil millones de dólares para resolver una investigación de la Comisión Federal de Comercio sobre sus prácticas de privacidad. Todavía enfrenta investigaciones por parte de los fiscales generales estatales y una demanda por parte del fiscal general de Washington DC.
Microsoft presentó su respuesta a la demanda de la Comisión Federal de Comercio de los Estados Unidos para impedir su compra de Activision Blizzard. En esta argumenta que Microsoft tiene una participación de mercado del 16% en las consolas vendidas en 2021 y representa una pequeña fracción de los ingresos de los juegos móviles a nivel mundial. Microsoft dice que su adquisición de ZeniMax no tiene relevancia en esta nueva compra, aunque reconoce que tres títulos de Bethesda que serán lanzados pronto serán exclusivos para Xbox y PCs.
El administrador de contraseñas LastPass reveló que tuvo una violación de datos en agosto, y en ese momento comentó que un actor malicioso “tomó partes del código fuente y alguna información técnica patentada por LastPass”. En una actualización, la compañía dice que los atacantes obtuvieron información personal, datos relacionados y una copia de seguridad de los datos de la bóveda de clientes. Esto incluye datos no cifrados como direcciones de sitios web y datos cifrados como nombres de usuario y contraseñas. LastPass no cree que los atacantes hayan accedido a datos de tarjetas de crédito sin cifrar. LastPass no almacena contraseñas maestras, por lo que los datos cifrados tendrían que ser forzados para acceder. Se recomienda a los usuarios estar atentos a correos de suplantación de identidad que busquen obtener contraseñas.
¿Quién protege a nuestros protectores?
Con las recientes revelaciones hechas por parte de LastPass, parece ser que el ataque que tuvo hace algunos meses tendrá mayores implicaciones a las esperadas.
El actor malicioso que logró infiltrarse a la bóveda de archivos tuvo acceso a información tanto encriptada como no encriptada. En pocas palabras, pudo acceder tanto a los sitios de los que guardabas las contraseñas (como, por ejemplo, Netflix o Gmail) y también pudo tener acceso a información más sensible, como los nombres de usuarios y contraseñas, así como información de autocompletado de formatos almacenado en LastPass.
La compañía hace énfasis en que la encriptación de sus archivos es bastante fuerte, y que la única manera en que el actor malicioso podría desencriptarla es si este tuviera acceso a la contraseña principal de los usuarios, información que hasta donde sabemos, no fue violada. El actor malicioso podría acceder a cuentas solo en casos en donde las contraseñas de LastPass puestas por los usuarios fueran sencillas y fáciles de adivinar, o si además no se contara con otras medidas de seguridad como los dos factores de autentificación. Por otro lado, los atacantes podrían tener acceso a información como direcciones de correo o números telefónicos, pero no a números de tarjetas de crédito almacenadas.
Por su parte LastPass anunció las medidas que ha tomado al respecto, enfocadas todas en la seguridad y protección de los datos de los usuarios, sistemas de detección y respuesta rápidas y rotación de certificados y credenciales de acceso.
¿Qué debes de hacer tú si erres usuario de LastPass? Las recomendaciones son cambiar tu contraseña de acceso a este servicio, y si tenías almacenadas contraseñas sencillas o repetidas, lo ideal es cambiarlas también. Si eres un usuario cuya cuenta es previa al 2018, también se recomienda revisar que tu contraseña sea debidamente hasheada con la función de contraseña basada en derivación de claves ofrecida por LastPass. Esto lo puedes consultar en el menú de Configuración Avanzada de tu cuenta.
Si quieres saber más noticias sobre seguridad, revisa nuestro episodio 141, en donde hablamos sobre vulnerabilidades detectadas por CyberArk Labs relacionadas con contraseñas.