Atenção, Última passagem titulares de conta. Detalhadas em uma postagem no blog esta semana, novas informações estão sendo divulgadas, vinculadas a um hack ocorrido no início deste ano. Naquela época, o hack não era exatamente interessante para nós (somos apenas um blog do Android), pois o LastPass disse que um hacker apenas obteve acesso a um ambiente de teste do desenvolvedor e a algum código-fonte. No entanto, devido a esse hack, ocorreu recentemente um evento subsequente no qual o hacker conseguiu comprometer a conta de um funcionário do LassPass e obter acesso a muito, muito mais.
Conforme detalhado pelo LastPass, alguém conseguiu obter acesso a cópias de backup criptografadas dos dados do cofre do cliente. Esses dados do cofre são o que contém tudo o que um usuário pode armazenar com o serviço. Estamos falando de nomes de usuários de contas, senhas, informações bancárias e tudo mais. Para um hacker, pode ser o filão.
De acordo com o LastPass, esses cofres são criptografados com alguma segurança séria, o que significa que nada deve ser capaz de acessar esses dados roubados, exceto a senha mestra de um usuário. Felizmente, essas senhas mestras não são armazenadas pelo LastPass, portanto, desde que o hacker seja incapaz de usar força bruta no cofre (adivinhar uma senha correta), os dados mais confidenciais do usuário devem permanecer seguros.
Não sou um especialista em segurança, então vou deixar o LastPass explicar melhor o que está acontecendo.
Até o momento, determinamos que, uma vez que a chave de acesso ao armazenamento em nuvem e as chaves de descriptografia do contêiner de armazenamento duplo foram obtidas, o agente da ameaça copiou informações do backup que continham informações básicas da conta do cliente e metadados relacionados, incluindo nomes de empresas, nomes de usuários finais, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP de onde os clientes acessavam o serviço LastPass.
O agente da ameaça também conseguiu copiar um backup dos dados do cofre do cliente do contêiner de armazenamento criptografado, que é armazenado em um formato binário proprietário que contém dados não criptografados, como URLs de sites, bem como campos confidenciais totalmente criptografados, como nomes de usuários de sites e senhas, notas seguras e dados preenchidos em formulários. Esses campos criptografados permanecem protegidos com criptografia AES de 256 bits e só podem ser descriptografados com uma chave de criptografia exclusiva derivada da senha mestra de cada usuário usando nossa arquitetura Zero Knowledge. Como lembrete, a senha mestra nunca é conhecida pelo LastPass e não é armazenada ou mantida pelo LastPass. A criptografia e descriptografia de dados são realizadas apenas no cliente LastPass local.
Não há evidências de que dados de cartão de crédito não criptografados tenham sido acessados. O LastPass não armazena números de cartão de crédito completos e as informações do cartão de crédito não são arquivadas neste ambiente de armazenamento em nuvem.
O que você deveria fazer
Contanto que um usuário do LastPass usasse as melhores práticas da empresa para selecionar uma senha mestra, a empresa diz que “levaria milhões de anos para adivinhar sua senha mestra usando a tecnologia de quebra de senha geralmente disponível”. Isso é reconfortante. No entanto, se você estiver um pouco preocupado com suas informações, convém começar a alterar suas senhas. Isso é se você quiser ser excessivamente seguro.
Para obter mais informações sobre o que aconteceu e o que o LastPass está fazendo a respeito, siga o link abaixo.
// Última passagem