O que você precisa saber
- O LastPass diz que os cofres de senhas dos clientes acabaram nas mãos de cibercriminosos.
- Os hackers usaram informações obtidas de um incidente anterior divulgado pelo LastPass em agosto passado.
- As senhas mestras permanecem seguras e o LastPass diz que levará milhões de anos para que os hackers as adivinhem.
A falha de segurança revelada pelo LastPass em agosto é pior do que se pensava anteriormente. O LastPass confirmou que os cibercriminosos usaram as informações obtidas no incidente anterior para obter cofres de senhas criptografadas e outros dados do cliente.
De acordo com a última atualização (abre em nova aba) do gerenciador de senhas, os hackers conseguiram “copiar um backup dos dados do cofre do cliente do contêiner de armazenamento criptografado”, que continha dados não criptografados, como URLs, e campos de dados criptografados, como nomes de usuário e senhas de sites, notas seguras e dados preenchidos em formulários.
O LastPass disse em agosto que, embora os hackers tenham obtido acesso a partes de seu ambiente de desenvolvimento, nenhum dado do cliente foi comprometido. Alguns meses depois, a empresa revelou que “certos elementos” dos dados do cliente foram realmente afetados pelo incidente de segurança.
Atores de ameaças obtiveram acesso ao seu código-fonte e outros dados técnicos e usaram essas informações para comprometer a conta de um desenvolvedor do LastPass. Os hackers acabaram roubando cópias de backup dos cofres de senhas dos usuários como resultado do incidente.
Felizmente, os cibercriminosos não conseguirão desbloquear os cofres de senhas criptografadas sem as senhas mestras, que apenas os proprietários das contas conhecem. A empresa enfatiza que as senhas mestras são protegidas por sua arquitetura Zero Knowledge, o que significa que nem o LastPass sabe disso.
No entanto, o LastPass alertou os clientes de que os hackers “podem tentar usar a força bruta para adivinhar sua senha mestra e descriptografar as cópias dos dados do cofre que eles obtiveram”.
Além dos cofres de senhas, os hackers obtiveram acesso a um tesouro de dados, incluindo nomes, endereços de e-mail, números de telefone e algumas informações de cobrança. Os proprietários de contas do LastPass afetados também são potencialmente vulneráveis a “ataques de phishing, preenchimento de credenciais ou outros ataques de força bruta contra contas online” que estão vinculadas ao seu cofre do LastPass.
Essa violação de segurança serve como um lembrete de que mesmo os melhores gerenciadores de senhas são vulneráveis a ataques. É sempre uma boa ideia nunca usar a mesma senha para todas as suas contas online. Nesse caso, o LastPass recomenda não usar sua senha mestra em outros sites. Melhor ainda, é aconselhável que você substitua sua senha mestre atual do LastPass por uma combinação exclusiva e proteja sua conta com autenticação de dois fatores.