A empresa controladora do serviço de gerenciamento de senhas, LastPass, que no final de 2022 revelou que os cofres de senhas de todo o seu base de clientes estava agora nas mãos de criminosos, anunciou que as chaves de criptografia para alguns de seus outros produtos foram comprometido também.
O que isso significa para seus usuários?
O que foi a violação de dados do LastPass de 2022?
O LastPass e seus clientes não tiveram o melhor ano de 2022. Em agosto, a empresa anunciou de forma discreta postagem no blog que os criminosos acessaram o ambiente de desenvolvimento do LastPass, o código-fonte e as informações técnicas. A linguagem era tranquilizadora e referia-se a "atividade incomum" e ao incidente como "um desenvolvimento". Uma seção de perguntas frequentes garantiu aos clientes que seus cofres, senhas e senhas mestras estavam seguras, ao mesmo tempo em que afirmava: "não recomendamos nenhuma ação em nome de nossos usuários ou administradores".
Um mês depois, após uma investigação em parceria com a Mandiant, a postagem original do blog foi atualizada, para confortar ainda mais os usuários do LastPass de que havia foi, "nenhuma evidência de que este incidente envolveu qualquer acesso aos dados do cliente ou cofres de senha criptografados", e ainda condenou os usuários com o reconhecimento de que "incidentes de segurança de qualquer tipo são perturbadores, mas [nós] queremos garantir que seus dados pessoais e senhas estão seguros em nosso Cuidado."
No entanto, no final de novembro de 2022, o blog foi atualizado mais uma vez, admitindo que os invasores conseguiram roubar "certos elementos das informações de nossos clientes".
Finalmente, em uma atualização de dezembro de 2022, o LastPass possuía ao fato de que os criminosos conseguiram exfiltrar os cofres de dados pessoais de milhões de clientes, contendo URLs e nomes de sites não criptografados, bem como nomes de usuário e senhas criptografados, juntamente com dados de backup, incluindo nomes de clientes, endereços e números de telefone, endereços de e-mail, endereços IP e cartão de crédito parcial números.
Mais uma vez, o LastPass procurou conter o dano à reputação, afirmando que "levaria milhões de anos para adivinhar sua senha mestra usando a tecnologia de quebra de senha geralmente disponível".
Pior está por vir para os usuários do LastPass?
O LastPass é um empresa independente, de propriedade da GoTo (um provedor de SaaS, anteriormente conhecido como LogMeIn), e embora a violação do LastPass tenha reunido o maior atenção, a penetração inicial foi de um serviço de armazenamento em nuvem de terceiros, que é usado tanto pelo GoTo quanto pelo Última passagem. Como o LastPass foi comprometido, o GoTo também foi. Atores de ameaças conseguiram exfiltrar backups criptografados de ambas as empresas.
Em 23 de janeiro de 2023, GoTo divulgou uma declaração em seu blog afirmando que tem "evidências de que um agente de ameaça exfiltrou uma chave de criptografia para uma parte dos backups criptografados" e, adicionalmente, que Configurações de autenticação multifator (MFA) de um pequeno subconjunto de seus clientes foram afetados.
O que isso significa é que os criminosos podem descriptografar facilmente seus bens roubados sem precisar esperar milhões de anos para fazê-lo.
É incerto se as chaves de criptografia do cofre do LastPass também foram exfiltradas.
Relatórios de cofres do LastPass sendo comprometidos
Assim que a atualização de dezembro foi publicada, o MUO foi contatado por leitores alegando que senhas únicas armazenados apenas nos cofres do LastPass estavam sendo usados por criminosos para acessar contas online, resultando em troca de SIM ataques.
No Twitter, os usuários relataram que as carteiras criptográficas estavam sendo atacadas e esvaziadas de seu conteúdo – essas sementes foram armazenadas apenas nos cofres do LastPass.
Até o momento, o LastPass não abordou esses rumores, nem as revelações de sua empresa controladora.
GoTo pelo menos começou a entrar em contato com os usuários afetados e todas as senhas foram redefinidas automaticamente.
Mude suas senhas para tudo
Existem serviços de gerenciamento de senhas para manter suas senhas seguras e impossíveis de adivinhar. Se os criminosos tiverem as chaves desse cofre, suas senhas são de qualquer pessoa para usar como quiserem.
A primeira coisa que você deve fazer é alterar suas senhas para todos os serviços que você já acessou online. Sempre que possível, você também deve usar um nome de usuário e endereço de e-mail exclusivos.
Nunca é uma boa ideia confiar seus segredos mais profundos para outra pessoa proteger. BitWarden é um gerenciador de senhas que você pode hospedar em seu próprio hardware e que irá gerar nomes de usuários, aliases de e-mail e senhas para cada site que você visitar. Ao executá-lo em sua própria máquina, você não precisa deixar suas senhas aos cuidados duvidosos de outra empresa.