Detalhes pessoais e cofres de senha contendo as credenciais de login de milhões de usuários estão agora nas mãos de criminosos. Se você já usou o gerenciador de senhas LastPass, você deve alterar todas as suas senhas para tudo agora. E você deve tomar imediatamente outras medidas para se proteger.
O que aconteceu na violação de dados do LastPass em 2022?
O LastPass é um serviço de gerenciamento de senhas que opera em um modelo "freemium". Os usuários podem armazenar todas as suas senhas e logins para serviços online com o LastPass e acessá-los por meio da interface da web, por meio de complementos do navegador e por meio de aplicativos de smartphone dedicados.
As senhas são armazenadas em "cofres", que são protegidos por uma única senha mestra.
Em agosto de 2022, o LastPass anunciou que criminosos haviam usado uma conta de desenvolvedor comprometida para acessar o ambiente de desenvolvimento do LastPass, código-fonte e informações técnicas.
Mais detalhes foram divulgados em novembro de 2022, quando LastPass acrescentou que alguns dados de clientes haviam sido divulgados.
A verdadeira gravidade da violação foi revelada em 22 de dezembro, quando um Postagem no blog do LastPass observou que os criminosos usaram algumas das informações obtidas no ataque anterior para roubar dados de backup incluindo nomes de clientes, endereços e números de telefone, endereços de e-mail, endereços IP e cartão de crédito parcial números. Além disso, eles conseguiram roubar cofres de senhas de usuários contendo URLs e nomes de sites não criptografados, bem como nomes de usuários e senhas criptografados.
É difícil para os criminosos quebrar sua senha mestre do LastPass?
Teoricamente, sim, os hackers devem achar difícil quebrar sua senha mestra. A postagem do blog do LastPass observa que, se você usar as configurações padrão recomendadas, "levaria milhões de anos para adivinhar sua senha mestra usando a tecnologia de quebra de senha geralmente disponível".
O LastPass exige que a senha mestra tenha no mínimo 12 caracteres e recomenda "que você nunca reutilize sua senha mestra em outros sites".
No entanto, o LastPass é único entre os serviços de gerenciamento de senhas, pois permite que os usuários definam uma dica de senha para lembrá-los de sua senha mestra caso a percam.
Efetivamente, isso incentiva os usuários a usar palavras e frases do dicionário como parte de sua senha, em vez de uma senha forte verdadeiramente aleatória. Nenhuma dica de senha ajudará se sua senha for "lVoT=.N]4CmU".
Os cofres de senha do LastPass estão nas mãos de criminosos há algum tempo e, embora estejam criptografados, eles acabarão estar sujeito a ataques de força bruta.
Os invasores acharão seu trabalho mais fácil graças à existência de enormes bancos de dados de senhas comumente usadas. Você pode baixar uma lista de senhas de 17 GB compreendendo as 613 milhões de senhas mais comuns de Fui sacaneado, por exemplo. Outras listas de senhas e credenciais estão disponíveis na dark web.
Tentar cada um dos meio bilhão de chaves mais comuns em um cofre individual levaria minutos e, embora relativamente poucos seriam os 12 caracteres necessários, é provável que os cibercriminosos consigam invadir facilmente uma boa proporção de cofres.
Acrescente a isso o fato de que o poder de computação aumenta ano a ano e que criminosos motivados podem usar redes distribuídas para ajudar no esforço; "milhões de anos" não parece viável para a maioria das contas.
A violação do LastPass afeta apenas as senhas?
Embora a manchete seja que os criminosos podem demorar para invadir seu cofre do LastPass, eles podem aproveitar de você de outras maneiras usando seu nome, endereço, número de telefone, endereço de e-mail, endereço IP e cartão de crédito parcial número.
Estes podem ser usados para uma série de propósitos nefastos, incluindo ataques de spearphishing contra você e seus contatos, roubo de identidade, obtenção de crédito e empréstimos em seu nome e ataques de troca de SIM.
Como você pode se proteger após as violações de dados do LastPass?
Você deve assumir que dentro de alguns anos, sua senha mestra será comprometida e todas as senhas contidas nela serão conhecidas pelos criminosos. Você deve alterá-las agora e usar senhas exclusivas que nunca usou antes e que não estão em nenhuma das listas de senhas comumente usadas.
Com relação aos outros criminosos de dados obtidos do LastPass, você deve congelar seu crédito, e contrate um serviço de monitoramento de crédito para monitorar qualquer novo cartão ou solicitação de empréstimo em seu nome. Se você puder alterar seu número de telefone sem muita inconveniência, faça isso também.
Assuma a responsabilidade por sua própria segurança
É fácil culpar o LastPass pelas violações de dados que fizeram com que seus cofres de senhas e detalhes pessoais caíssem nas mãos de criminosos, mas os serviços de gerenciamento de senhas que protegem sua vida e ajudam a gerar combos únicos ainda são a melhor maneira de proteger sua conta online vida.
Uma maneira de dificultar o acesso de possíveis ladrões aos seus dados vitais é hospedar um gerenciador de senhas em seu próprio hardware. É barato, fácil de fazer e algumas soluções, como o VaultWarden, podem até ser implementadas em um Raspberry Pi Zero.