LastPass admite que invasores têm uma cópia dos cofres de senhas dos clientes

26/12/2022 mindsecblog Notícias 1

LastPass admite que invasores têm uma cópia dos cofres de senhas dos clientes. Felizmente, uma cópia bem criptografada que pode levar uma eternidade para quebrar, a menos que os usuários pratiquem uma higiene de senha ruim.

O LastPass revelou semana passada, 22 de dezembro, que os invasores roubaram dados do cofre do cliente após invadir seu armazenamento em nuvem no início deste ano usando informações roubadas durante um incidente de agosto de 2022.

Isso segue uma atualização anterior emitida no mês passado, quando o CEO da empresa, Karim Toubba, disse apenas que o agente da ameaça obteve acesso a “certos elementos” das informações do cliente.

Agora, Toubba acrescentou que o serviço de armazenamento em nuvem é usado pelo LastPass para armazenar backups arquivados de dados de produção.

O invasor obteve acesso ao armazenamento em nuvem do Lastpass usando “chave de acesso ao armazenamento em nuvem e chaves de descriptografia de contêiner de armazenamento duplo” roubadas de seu ambiente de desenvolvedor.

“O agente da ameaça copiou informações do backup que continha informações básicas da conta do cliente e metadados relacionados, incluindo nomes de empresas, nomes de usuários finais, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP dos quais os clientes acessavam o serviço LastPass”, Toubba disse hoje.

“O agente da ameaça também conseguiu copiar um backup dos dados do cofre do cliente do contêiner de armazenamento criptografado, que é armazenado em um formato binário proprietário que contém dados não criptografados, como URLs de sites, bem como campos confidenciais totalmente criptografados, como sites nomes de usuário e senhas, notas seguras e dados preenchidos em formulários.”

Alguns dos dados roubados do cofre são “criptografados com segurança”

Felizmente, os dados criptografados são protegidos com criptografia AES de 256 bits e só podem ser descriptografados com uma chave de criptografia exclusiva derivada da senha mestra de cada usuário.

De acordo com Toubba, a senha mestra nunca é conhecida pelo LastPass, não é armazenada nos sistemas do Lastpass e o LastPass não a mantém.

Os clientes também foram avisados de que os invasores podem tentar usar força bruta em suas senhas mestras para obter acesso aos dados criptografados roubados do cofre.

No entanto, isso seria muito difícil e demorado se você estivesse seguindo as melhores práticas de senha recomendadas pelo LastPass.

Se você fizer isso, “levaria milhões de anos para adivinhar sua senha mestra usando a tecnologia de quebra de senha geralmente disponível“, acrescentou Toubba .

“Seus dados confidenciais do cofre, como nomes de usuário e senhas, notas seguras, anexos e campos de preenchimento de formulário, permanecem criptografados com segurança com base na arquitetura Zero Knowledge do LastPass.“

Violado duas vezes em um único ano

A violação do armazenamento em nuvem é o segundo incidente de segurança divulgado pela empresa desde o início do ano, depois de confirmar em agosto que seu ambiente de desenvolvedor foi violado usando uma conta de desenvolvedor comprometida.

Em e-mails enviados aos clientes, o Lastpass confirmou que os invasores roubaram informações técnicas proprietárias e código-fonte de seus sistemas.

Em uma atualização de acompanhamento, a empresa também revelou que o invasor por trás da violação de agosto manteve o acesso interno aos seus sistemas por quatro dias até ser despejado.

O LastPass diz que seu software de gerenciamento de senhas está sendo usado por mais de 33 milhões de pessoas e 100.000 empresas em todo o mundo.