LastPass confirma que foi hackeado e código fonte é comprometido

LastPass confirma que foi hackeado e código fonte é comprometido. Empresa diz que nenhuma senha parece ter sido revelada no site de salvamento de senhas. 

Um dos maiores gerenciadores de senhas do mundo, com 25 milhões de usuários, o LastPass, confirmou que foi hackeado . Em um comunicado publicado em 25 de agosto, Karim Toubba, CEO do LastPass, disse que uma parte não autorizada havia roubado “partes do código-fonte e algumas informações técnicas proprietárias do LastPass“.

Este não é o primeiro evento de ataques contra a LasPass, em dezembro de 2021, noticiamos aqui no Blog Minuto da Segurança que segundo o site AppleInside, membros do LastPass relataram várias tentativas de login usando senhas mestras corretas de vários locais, mas a empresa diz que os ataques recentes são resultado de senhas compartilhadas coletadas de violações de outros serviços. 

Em 2020, o LastPass teve uma grande interrupção e os usuários relataram que não conseguiam fazer login em suas contas ou preencher senhas automaticamente. 

Em 2019, um problema significativo de segurança do LastPass também foi descoberto por pesquisadores de segurança.

Nesse incidente o LastPass “envolveu uma empresa líder em segurança cibernética e forense” para investigar o que aconteceu. O LastPass diz também está implementando medidas de segurança aprimoradas e que eles não viram “nenhuma evidência adicional de atividade não autorizada“. 

O que foi acessado durante a violação de rede do LastPass?

A violação do dia 25 de agosto passado, parece ter sido dos servidores de desenvolvimento, facilitada por um comprometimento de uma conta de desenvolvedor do LastPass e ocorreu há duas semanas. As equipes de resposta a incidentes conteram a violação e o LastPass diz que não há evidências de outras atividades maliciosas. Toubba também confirmou que nenhuma evidência foi encontrada de nenhum dado de cliente ou cofres de senha criptografados sendo acessados.

É uma boa notícia que os dados do cliente não foram comprometidos neste último incidente, mas o fato de o intruso ter acessado o código-fonte e as ‘informações técnicas proprietárias‘ é preocupante. Especialmente porque não há mais detalhes sobre exatamente o que foi roubado.

Sua senha mestra ou cofre de senhas do LastPass foi comprometido?

Os usuários do LastPass, é claro, ficarão preocupados que um hacker possa ter conseguido as chaves de seu reino online: suas senhas. No entanto, o LastPass deixou claro que, com o uso da arquitetura de ‘zero knowledge’ (conhecimento zero) implementada, as senhas mestras nunca são armazenadas. O LastPass nunca poderá saber ou obter acesso à senha mestra de nossos clientes”, disse Toubba, “esse incidente não comprometeu sua senha mestra”, afirma. Como tal, o LastPass diz que nenhuma ação é exigida dos usuários em relação aos seus cofres de senha.

O LastPass, com seu modelo de conhecimento zero, ainda parece ser uma boa empresa de segurança de senhas, mas os constantes ataques e notícias com suspeitas de vazamento colocam em dúvidas o seu serviço. Assim se você quiser procurar outro gerenciador de senhas e saber um pouco mais sobre as opções e os problemas deste tipo de serviço sugerimos dois artigos que publicamos aqui no blog: “Onde armazenar minhas senhas? É seguro usar serviços em nuvem?” e “Gerenciadores de senhas deixam informações na memória“.

Fonte: Forbes & ZDNet & LastPass 

Veja também:

 

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!