A empresa, de propriedade da GoTo (anteriormente LogMeIn), divulgou a violação em um aviso online publicado na quinta-feira, mas insistiu que as senhas mestras do cliente ou quaisquer dados criptografados do cofre de senhas não foram comprometidos.
O executivo-chefe do LastPass, Karim Toubba, disse que a equipe de segurança da empresa detectou atividades incomuns em partes do ambiente de desenvolvimento do LastPass há duas semanas e lançou uma investigação que confirmou o roubo do código-fonte.
LastPass hackeado, código fonte roubado.
Leia o comunicado do LastPass sobre o incidente de segurança :
Determinamos que uma parte não autorizada obteve acesso a partes do ambiente de desenvolvimento do LastPass por meio de uma única conta de desenvolvedor comprometida e obteve partes do código-fonte e algumas informações técnicas proprietárias do LastPass. Nossos produtos e serviços estão operando normalmente.
Em resposta ao incidente, implantamos medidas de contenção e mitigação e contratamos uma empresa líder em segurança cibernética e forense. Enquanto nossa investigação está em andamento, alcançamos um estado de contenção, implementamos medidas de segurança aprimoradas adicionais e não vemos mais evidências de atividade não autorizada.
Toubba disse que a empresa está avaliando outras técnicas de mitigação para fortalecer seu ambiente.
LastPass: Código-fonte roubado, mas dados de clientes não foram comprometidos.
Mais importante ainda, o LastPass insiste que o incidente não comprometeu as senhas mestras que gerenciam o acesso a cofres criptografados em seu principal software gerenciador de senhas.
“Nós nunca armazenamos ou temos conhecimento de sua senha mestra”, disse Toubba, observando que o LastPass usa a arquitetura Zero Knowledge que garante que a empresa nunca possa saber ou obter acesso à senha mestra de um cliente.
Ele disse que a investigação não mostrou evidências de qualquer acesso não autorizado a dados criptografados do cofre ou dados de clientes no ambiente de produção do LastPass.
O hack mais recente vem logo após os usuários do LastPass serem alvo de ataques de “preenchimento de credenciais” que usam endereços de e-mail e senhas obtidos de violações de terceiros.
O LastPass reivindica mais de 30 milhões de usuários e 85.000 clientes empresariais em todo o mundo.
Atualize suas senhas
Recomendamos fortemente atualizarem suas senhas salvas no LastPass como uma medida proativa de prevenção.
O que você sobre o fato de a base de desenvolvimento do LastPass ter sido Hackeada e seu código-fonte roubado?
Continua confiando suas senhas na ferramenta de gerenciamento de senhas?
Curta, comente e compartilhe.