LastPass ha compartido las conclusiones de la investigación que inició por el hackeo que afectó a sus sistemas en agosto, y reiterado que no ha afectado a los datos de los usuarios de la aplicación ni a la bóveda de contraseña encriptadas, ya que se limitó al entorno de desarrollo.
Los sistemas de la compañía detectaron el acceso de un actor malicioso en agosto, cuya actividad se limita a un periodo de cuatro días, como ha compartido la compañía en una actualización sobre la investigación iniciada en agosto.
En esos cuatro días, el actor malicioso pudo acceder al entorno de desarrollo a través de un equipo comprometido, que es un entorno distinto y separado del de Producción y no contiene los datos de usuario ni la bóveda de contraseña encriptadas.
LastPass señala que el método por el que este actor logró acceder al entorno de desarrollo «no es concluyente», pero que saben que utilizó "su acceso persistente para hacerse pasar por el desarrollador una vez que el desarrollador se había autenticado correctamente mediante la autenticación multifactor.
La compañía ha tranquilizado a los usuarios de su servicio de gestión de contraseñas, asegurando que ni ellos mismos tienen acceso a las contraseñas maestras de las bóvedas. También han implementado controles de seguridad adicionales.