LastPass Master Passwords pode ter sido comprometida

29/12/2021 mindsecblog Notícias 6

LastPass Master Passwords pode ter sido comprometida. LastPass diz que nenhuma senha foi comprometida e que alguns alertas de logins não autorizados que os usuários receberam foram enviados por engano.

LastPass diz que não há evidência de violação de dados após relatórios de usuários que foram notificados de tentativas de login não autorizadas, conforme relatado pelo AppleInsider . O gerenciador de senhas afirma que nunca foi comprometido e as contas dos usuários não foram acessadas por malfeitores.

Segundo o site AppleInside, dia 28 de dezembro, membros do LastPass relataram várias tentativas de login usando senhas mestras corretas de vários locais, mas a empresa diz que os ataques recentes são resultado de senhas compartilhadas coletadas de violações de outros serviços.

Vários usuários em um fórum do Hacker News compartilharam que suas senhas mestras do LastPass parecem estar comprometidas. Não se sabe como as senhas vazaram, mas um padrão surgiu entre os usuários.

A maioria dos relatórios parece vir de usuários com contas LastPass desatualizadas, o que significa que eles não usam o serviço há algum tempo e não mudam a senha. Isso indica que a lista de senhas mestras em uso pode ter vindo de um hack anterior.

Alguns usuários afirmam que a mudança de senha não ajudou, com um usuário alegando que viu novas tentativas de login de vários locais com cada mudança de senha. Não está claro a gravidade do vazamento de senha ou se o LastPass está sob ataque.

LastPass respondeu ao pedido da AppleInsider por mais informações.

“LastPass investigou relatos recentes de tentativas de login bloqueadas e acreditamos que a atividade está relacionada à atividade de tentativa de ‘credential stuffing’, na qual um agente mal-intencionado ou mal intencionado tenta acessar contas de usuário (neste caso, LastPass) usando endereços de e-mail e senhas obtidas de violações de terceiros relacionadas a outros serviços não afiliados “, disse-nos o porta-voz da LastPass, Meghan Larson. “É importante observar que, no momento, não temos qualquer indicação de que as contas foram acessadas com sucesso ou que o serviço LastPass foi comprometido por uma parte não autorizada. Monitoramos regularmente este tipo de atividade e continuaremos a tomar as medidas projetadas para garantir que o LastPass, seus usuários e seus dados permaneçam protegidos e seguros. “

O AppleInsider diz que pode confirmar que existe algum tipo de esforço organizado para invadir os cofres do LassPass, pois desde a publicação, receberam confirmação de leitores e colegas de todo o mundo sobre as tentativas de login.
É recoemndável que todos os usuários os alterem suas senhas, habilitem a autenticação de dois fatores e fiquem atentos a tentativas de login suspeitas. Também existe a opção de remover senhas do serviço e migrar para outros serviços de cofres de senhas.

LastPass é um gerenciador de senhas gratuito disponível em desktops e dispositivos móveis. Houve preocupações de segurança com relação à versão Android do aplicativo e seu uso de rastreadores .

Nikolett Bacso-Albaum, o diretor sênior da LogMeIn Global PR disse inicialmente ao The Verge que os alertas recebidos pelos usuários estavam relacionados a “atividades bastante comuns relacionadas a bots“, envolvendo tentativas maliciosas de fazer login em contas LastPass usando endereços de e-mail e senhas que malfeitores originado de violações anteriores de serviços de terceiros (ou seja, não LastPass).

“É importante observar que não temos qualquer indicação de que as contas foram acessadas com sucesso ou que o serviço LastPass foi comprometido por uma parte não autorizada”, disse Basco-Albaum. “Monitoramos regularmente este tipo de atividade e continuaremos a tomar medidas destinadas a garantir que o LastPass, seus usuários e seus dados permaneçam protegidos e seguros.”

No entanto, na noite de terça-feira à noite, o vice-presidente de gerenciamento de produto do LastPass, Dan DeMichele, divulgou um comunicado ao The Verge com uma explicação mais detalhada, que diz que pelo menos alguns dos alertas foram “provavelmente acionados por engano“, devido a um problema que o LastPass agora resolveu .

“Como afirmado anteriormente, o LastPass está ciente e tem investigado relatos recentes de usuários que recebem e-mails alertando-os sobre tentativas de login bloqueadas.
Trabalhamos rapidamente para investigar essa atividade e, no momento, não temos nenhuma indicação de que qualquer conta LastPass tenha sido comprometida por um terceiro não autorizado como resultado desse enchimento de credenciais, nem encontramos qualquer indicação de que as credenciais LastPass do usuário foram coletadas por malware, extensões de navegador desonestos ou campanhas de phishing.
No entanto, por muita cautela, continuamos a investigar em um esforço para determinar o que estava fazendo com que os e-mails de alerta de segurança automatizados fossem disparados de nossos sistemas.
Nossa investigação descobriu que alguns desses alertas de segurança, enviados a um subconjunto limitado de usuários do LastPass, provavelmente foram disparados por engano. Como resultado, ajustamos nossos sistemas de alerta de segurança e esse problema já foi resolvido.
Esses alertas foram acionados devido aos esforços contínuos da LastPass para defender seus clientes de agentes mal-intencionados e tentativas de enchimento de credenciais. Também é importante reiterar que o modelo de segurança de conhecimento zero do LastPass significa que em nenhum momento o LastPass armazena, tem conhecimento ou tem acesso à (s) senha (s) mestra (s) de um usuário.
Continuaremos monitorando regularmente para atividades incomuns ou maliciosas e, conforme necessário, continuaremos a tomar medidas destinadas a garantir que o LastPass, seus usuários e seus dados permaneçam protegidos e seguros.”

Relatórios começaram a surgir no fórum Hacker News depois que um usuário LastPass criou uma postagem para destacar o problema. Ele afirma que o LastPass o alertou sobre uma tentativa de login do Brasil usando sua senha mestra. Outros usuários responderam rapidamente à postagem, observando que experimentaram algo semelhante. Como o postador original (@technology_greg) aponta em um tweet, alguns também foram alertados de uma tentativa do Brasil, enquanto outras tentativas foram rastreadas em diferentes países. Isso, compreensivelmente, levantou preocupações sobre a ocorrência de uma violação.

Mesmo que o LastPass não tenha sido realmente comprometido, ainda é uma boa ideia fortalecer sua conta com autenticação multifator , que usa fontes externas para verificar sua identidade antes de fazer login em sua conta.