Usuarios del servicio de gestión de contraseñas LastPass se están encontrando estos días con notificaciones alertándoles de intentos de inicios de sesión en sus cuentas en esta plataforma usando las contraseñas maestras que tienen para este servicio, llegando hasta el punto de cambiarlas en algunos casos y seguir recibiendo notificaciones de intentos de acceso a las cuentas con las contraseñas maestras.
En las alertas, los usuarios detallan que los intentos proceden de localizaciones desconocidas, llegando hasta el punto de que algunos usuarios han visto el bloqueo de los inicios de sesión ante un número elevado de intentos recibidos.
Con los bloqueos de los intentos en ciernes en un número de cuentas, desde LastPass se insta a los usuarios a realizar las averiguaciones de seguridad pertinentes al objeto de proteger sus cuentas ante nuevos intentos.
Como decimos, ha habido usuarios que han llegado a cambiar sus contraseñas maestras, y aún así han seguido recibiendo las alertas. Nikolett Bacso-Albaum, directora senior de relaciones públicas, señala ante BleepingComputer que se trata de una actividad común relacionada con los bots.
De manera más precisa especificó que:
LastPass investigó informes recientes de intentos de inicio de sesión bloqueados y determinó que la actividad está relacionada con una actividad bastante común relacionada con bots, en la que un actor malintencionado intenta acceder a las cuentas de usuario (en este caso, LastPass) utilizando direcciones de correo electrónico y contraseñas obtenidas de infracciones de terceros relacionadas con otros servicios no afiliados
Continua indicando que ninguno de los intentos de inicios de sesión ha llegado a tener éxito, no encontrando evidencias de ello, y que tampoco hay evidencias de que el servicio haya sido comprometido por «una parte no autorizada»:
Controlamos regularmente este tipo de actividad y continuaremos tomando medidas diseñadas para garantizar que LastPass, sus usuarios, y sus datos permanecen protegidos y seguros «, agregó Bacso-Albaum
Pese a ello, las declaraciones no están convenciendo a los usuarios afectados, habiendo quienes incluso fueron un paso más lejos al tratar de deshabilitar y eliminar sus cuentas sin éxito, encontrándose con mensajes de error.