No final de agosto deste ano, foi confirmada uma violação nos sistemas de gerenciamento do LastPass, que resultou no roubo de senhas criptografadas dos usuários do aplicativo.
Anúncios
A informação vem em uma atualização de caso que a empresa divulgou na quinta-feira (22), que também menciona a divulgação de dados importantes do usuário como parte do incidente de segurança de dados.
No entanto, as credenciais são criptografadas e os invasores não podem recuperá-las.
No entanto, a atualização aumentou a já grave epidemia devido ao sequestro de parte do código-fonte do aplicativo. Segundo o LastPass, os criminosos responsáveis apreenderam, além de senhas.
Informações utilizadas para acessar o serviço, como nomes, endereços de cobrança, e-mails, números de telefone e endereços IP; estes estão em um formato aberto sem qualquer criptografia de segurança.
Anúncios
A empresa responsável pelo gerenciamento de senhas enfatiza que informações sigilosas, como informações de cartão de crédito.
Estão seguras em seu extrato. Além das senhas, os golpistas também capturaram URLs, notas e informações de preenchimento automático de sites cujas credenciais foram armazenadas no serviço.
Os próprios logins e senhas também foram comprometidos, mas são criptografados em um formato proprietário baseado em criptografia AES de 256 bits que não pode ser quebrada sem uma chave mestra exclusiva para cada instalação de software.
De acordo com o LastPass, a violação contou com credenciais e chaves encontradas no código-fonte e outros dados técnicos pré-processados. Posteriormente, tais informações foram utilizadas para acessar o backup da empresa no serviço de nuvem.
Embora não se saiba se foi o mesmo caso registrado no início deste mês, que também envolveu a recuperação de dados do usuário.
Os usuários podem ser expostos a ataques
Embora o serviço garanta a proteção das informações confidenciais dos usuários, a atualização do ataque também traz um alerta sobre golpes de phishing.
E tentativas de sequestro de senhas. Segundo o LastPass, é possível usar força bruta para desbloquear senhas e arquivos criptografados recebidos dos usuários, mas a complexidade da criptografia torna uma tarefa muito difícil.
Portanto, os usuários são aconselhados a serem cautelosos, especialmente ao copiar a chave mestra em outras plataformas que possam ter sido comprometidas no passado. Nesse caso vale a pena trocar a senha e tudo fica compartilhado dessa forma.
Mesmo fora dessa opção, a alteração de senhas devolve total segurança aos usuários, pois, conforme mencionado, as informações obtidas por terceiros são provenientes de backup. A atualização torna os dados comprometidos inutilizáveis.
O LastPass também notifica cerca de 3% de sua base de usuários corporativos, com medidas específicas baseadas nas configurações de suas contas.
Para outros, um pedido de desculpas é um pedido de desculpas e uma promessa de aprender mais quando as investigações do caso revelarem novas descobertas.
*Fonte de pesquisa: LastPass