Marcos Souza 
A violação de segurança do LastPass em agosto de 2022 pode ter dados criticos e cofres de clientes e provavelmente foi mais grave do que a divulgada anteriormente pela empresa.
Um dos principais serviço de gerenciamento de senhas revelou ontem que os hackers obtiveram um caminhão de informações pessoais pertencentes a seus clientes. As informações roubadas pela violação de dados do LastPass incluem cofres de senhas criptografadas usando dados desviados da invasão anterior.
Informações básicas e mais dados críticos roubados.
Enfim a empresa de gerenciamento de senhas, os hackers obtiveram acesso ao backup em nuvem da empresa.
O agente de ameaça copiou informações do backup que continham informações básicas da conta do cliente e metadados relacionados, incluindo:
- Nomes de empresas
- Nomes de usuários finais
- Endereços de cobrança
- Endereços de e-mail
- Números de telefone
- endereços IP a partir dos quais os clientes estavam acessando o serviço LastPass.
Informa a empresa.
Nova violação aponta para armazenamento em nuvem compartilhado com antiga LogMeIn
A violação de dados e cofres de clientes do LastPass, continua sendo objeto de uma investigação em andamento. Os hackers acessaram o código-fonte e informações técnicas proprietárias de seu ambiente de desenvolvimento por meio de uma única conta de funcionário comprometida.
Contudo, o LastPass disse que isso permitiu que o hacker obtivesse credenciais e chaves que foram posteriormente aproveitadas para extrair informações de um backup. O armazenamento esta em um serviço de armazenamento baseado em nuvem, que enfatizou ser fisicamente separado de seu ambiente de produção.
No início de dezembro, o LastPass disse estar investigando um segundo incidente de segurança que envolveu invasores acessando algumas de suas informações de clientes.
“Recentemente, detectamos atividades incomuns dentro de um serviço de armazenamento em nuvem de terceiros, que é atualmente compartilhado pela LastPass e sua afiliada, a GoTo”, disse o CEO da LastPass, Karim Toubba. A GoTo, anteriormente chamada LogMeIn, adquiriu a LastPass em outubro de 2015.
Dados copiados de armazenamento em formato binário proprietário.
Além disso, o adversário teria copiado os dados do cofre do cliente do serviço de armazenamento criptografado. Ele é armazenado em um “formato binário proprietário” que contém dados não criptografados, como URLs de sites, e campos totalmente criptografados, como nomes de usuário e senhas de sites, anotações seguras e dados preenchidos por formulários.
Esses campos, explicou a empresa, são protegidos usando criptografia AES de 256 bits e podem ser decodificados apenas com uma chave derivada da senha mestra dos usuários nos dispositivos dos usuários.
Cartão de crédito de clientes não foram vazados
Ainda assim, o LastPass informa não haver evidências de que quaisquer dados de cartão de crédito não criptografados tenham sido acessados. “O LastPass não armazena números completos de cartão de crédito e as informações de cartão de crédito não são arquivadas neste ambiente em nuvem. “
Usuários do LastPass devem se preocupar?
Entretanto, a empresa não divulgou o quão recente era o backup. Ainda assim alerta que o agente de ameaças “pode tentar usar força bruta para adivinhar sua senha mestra e descriptografar os dados que eles levaram”. Além de atingir clientes com engenharia social e ataques de preenchimento de credenciais.
Vale a pena notar nesta fase que o sucesso dos ataques de força bruta para prever as senhas mestras é inversamente proporcional à sua força, o que significa que quanto mais fácil for adivinhar a senha, menor o número de tentativas necessárias para quebrá-la.
“Se você reutilizar sua senha mestra e essa senha tiver sido comprometida, um agente de ameaça poderá usar despejos de credenciais comprometidas que já estão disponíveis na Internet para tentar acessar sua conta”, alertou o LastPass.
Entretanto, o fato de que os URLs do site estão em texto simples significa que uma descriptografia bem-sucedida da senha mestra pode dar aos invasores uma noção dos sites com os quais um determinado usuário mantém contas, permitindo que eles montem ataques adicionais de phishing ou roubo de credenciais.
Menos de 3% dos usuários afetados
De acordo com a empresa menos de 3% dos usuários foram afetados. O LastPass notificou este pequeno subconjunto de seus clientes empresariais para tomar certas medidas não especificadas com base em suas configurações de conta.
Sua empresa atingidos pela violação de dados e faz parte segundo o LastPass do grupo que teve dados sensíveis e cofres de senhas roubadas? Se a resposta for sim, troque imediatamente todas as senhas salvas.
Curta, comente e compartilhe.
