As violações de dados sofridas pela LastPass em Agosto e Novembro de 2022 resultaram no comprometimento da informação confidencial do cliente.
Numa declaração, a LastPass explicou que a violação de Agosto viu um actor malicioso roubar código fonte e informação técnica do ambiente de desenvolvimento da LastPass, que foi depois utilizada para atingir um empregado. Isto permitiu ao hacker obter acesso a credenciais e chaves, que depois utilizaram para aceder ao serviço de armazenamento em nuvem de terceiros da LastPass, em Novembro de 2022. Utilizando as chaves, a parte maliciosa conseguiu decifrar alguns volumes de armazenamento dentro do serviço de armazenamento.
Após a descodificação da informação, o hacker acedeu e copiou informação armazenada numa cópia de segurança armazenada na nuvem que incluía “informação básica da conta do cliente e metadados relacionados” incluindo “nomes de empresas, nomes de utilizadores finais, endereços de facturação, endereços de correio electrónico, números de telefone e os endereços IP a partir dos quais os clientes estavam a aceder ao serviço LastPass”. O número de clientes afectados ainda não foi partilhado.
LastPass explicou que o hacker também foi capaz de “copiar uma cópia de segurança dos dados do cofre do cliente a partir do contentor de armazenamento encriptado que é armazenado num formato binário proprietário que contém tanto dados não encriptados, tais como URLs de websites”, como também “campos sensíveis totalmente encriptados, tais como nomes de utilizador e palavras-passe de websites, notas seguras e dados preenchidos por formulários”.
A empresa de gestão de senhas tranquilizou os seus clientes quanto à segurança dos seus dados encriptados, observando que todos os ficheiros encriptados permanecem “seguros com encriptação AES de 256 bits”, o que significa que precisam de uma chave de encriptação única derivada da senha de cada utilizador para a decifrar. Como a LastPass não sabe, armazena ou mantém as palavras-passe dos utilizadores, isto reduz a hipótese de compromisso.
A LastPass avisou os seus clientes para terem cuidado com a engenharia social ou ataques de phishing na sequência do ataque. Também notou que enquanto a empresa utiliza métodos de hashing e encriptação para proteger os dados dos clientes, os actores maliciosos podem usar “força bruta” numa tentativa de adivinhar as senhas principais dos clientes e decifrar as cópias dos dados do cofre que roubaram.
A empresa observou que se os clientes seguissem as suas configurações padrão e as melhores práticas de senhas mestras, “levaria milhões de anos para adivinhar [a] palavra-passe principal utilizando a tecnologia de quebra de palavra-passe geralmente disponível”. Recomenda-se que aqueles que não seguem estas melhores práticas alterem as palavras-passe dos sítios web que têm actualmente armazenados na sua conta LastPass.
A LastPass disse aos clientes que “os dados sensíveis do cofre, tais como nomes de utilizador e palavras-passe, notas seguras, anexos e campos de preenchimento de formulários, permanecem encriptados em segurança com base na arquitectura de conhecimento zero da LastPass”, acrescentando que não foram recomendadas outras acções para os seus clientes tomarem.
Saiba mais sobre a violação aqui.