El mes pasado, LastPass admitió que una parte no autorizada pudo violar el sistema y tuvo acceso a información confidencial durante unos cuatro días. El director ejecutivo de LastPass dijo que la empresa trabajó en estrecha colaboración con los expertos en seguridad de Mandiant y que la investigación reveló que ningún dato de usuario se ha visto comprometido.
Sin embargo, el atacante pudo acceder al código fuente del administrador de contraseñas de LastPass, así como a información técnica. El acceso estaba limitado al entorno de desarrollo del servicio que no tiene nada que ver con los datos del usuario. Sin mencionar que LastPass en sí mismo no tiene acceso a las contraseñas maestras de los usuarios, que a su vez son necesarias para descifrar los datos.
La investigación sugiere que el atacante usó el punto final de un desarrollador y se hizo pasar por el desarrollador después de autenticarse con éxito mediante la autenticación multifactor.