Lastpass... pwned?

Imagino que muchos de nuestros lectores habéis confiado la custodia de vuestras credenciales en el servicio en la nube LastPass. 

Los que no lo conozcáis (si es que hay alguien de este sector que no lo sepa), esta compañía lleva a la práctica la idea de poder acceder a tus contraseñas desde cualquier dispositivo, puesto que la nube las recuerda por tí, y todo ello cifrado con una contraseña maestra que sólo te sabes tú. 

¿Pinta genial, verdad?.... Excepto cuando ese servicio, o sus redes, se ve comprometido. 

Vía twitter, leo que en el blog de Lastpass han publicado una nota en la que se dice que desde el viernes pasado, detectaron una actividad anómala en su red. 

Aunque no está confirmado el alcance completo del incidente, indican que las direcciones de correo de usuarios, indicios recordatorios de contraseña, salts y hashes de autenticación sí que han sido comprometidos.

Las credenciales de los usuarios se cifran con el hash de la contraseña maestra del usuario, un salt aleatorio y 100.000 iteraciones de PBKDF2-SHA256. 

Lo que están recomendando a sus usuarios es que cambien inmediatamente la contraseña maestra, a fin de que se regenere todo de nuevo.

Esto podría implicar que las bases de datos de Have I Been Pwned? se vean nutridas con nuevos contenidos próximamente, sobre todo por aquellos que hayan tenido sus credenciales guardadas allí.

Como medidas proactivas, desde Lastpass están exigiendo confirmación de autenticación por email a todos aquellos usuarios que se estén dando de alta desde dispositivos no registrados anteriormente. 

En muchas charlas me habréis oido decir que soy "anti servicios en la nube", o que "las nubes son para los aviones". Obviamente, no soy usuario de Lastpass, y siempre he confiado en guardar mis contraseñas en local, utilizando KeePassx en un contenedor Truecrypt,... y por si acaso el disco duro de mi Mac, cifrado con Filevault2... Que sí, que todos ellos han tenido vulnerabilidades conocidas en su implementación en varias ocasiones, pero al menos sé que la llave la tengo yo.

Así que ya sabéis, usuarios de LastPass, corred a cambiar la contraseña maestra,... y, aunque desde LastPass digan lo contrario (qué te van a decir, claro) si yo fuera vosotros, me tomaría el trabajo de hacerlo en todas aquellas identidades que hayáis confiado en este servicio.

Edito para añadir, que se ve que no es la primera vez que detectan una anomalía en la red últimamente: https://blog.lastpass.com/2011/05/lastpass-security-notification.html/.