Um queixoso anónimo intentou uma acção judicial colectiva contra a empresa de gestão de senhas LastPass após a empresa ter sofrido duas violações de dados no prazo de quatro meses em 2022.
O fato, que era apresentado por um queixoso anónimo referido como “John Doe” no Tribunal Distrital de Massachusetts dos Estados Unidos da América, alega que a LastPass não conseguiu “exercer um cuidado razoável na segurança e salvaguarda de dados altamente sensíveis do consumidor”.
O processo também alega que os maus actores poderiam “causar estragos financeiros na vida dos utilizadores da LastPass” afectados pela violação. O queixoso acusou a LastPass de “provável armazenamento[ing]” as senhas mestras dos utilizadores – a única forma de desbloquear os cofres de senhas dos utilizadores e aceder às suas informações de login – o que significa que as senhas dos utilizadores teriam sido acedidas durante a violação. Isto permitiria às partes maliciosas o acesso a qualquer número de contas de utilizadores, incluindo as que armazenam informações bancárias ou de pagamento. Contudo, de acordo com a LastPass, “palavra-passe principal[s] [are] nunca conhecido pela LastPass e [are] não armazenados ou mantidos pela LastPass”, o que significa que não poderiam ter sido acedidos nas violações.
O processo continua a acusar a LastPass de “não investir em medidas de segurança de dados adequadas que protegeriam o Autor e a Classe do acesso não autorizado e da cópia das suas informações privadas”, o que significa que as pessoas afectadas pela violação correm “um risco especialmente elevado de ameaças de resgate e tentativas de chantagem” devido às informações expostas. Esta informação inclui nomes de empresas, nomes de utilizadores finais, endereços de facturação, endereços de correio electrónico, números de telefone e os endereços IP utilizados para aceder aos serviços LastPass.
Também afirma que os dados pessoais das vítimas “já não estão escondidos, estando, em vez disso, nas mãos de criminosos informáticos que já abusaram fraudulentamente de tais dados”. A prova disso é que, em Novembro de 2022, Doe tinha cerca de 53.000 dólares de Bitcoin roubados da sua carteira de bloqueador, alegadamente através do uso de chaves privadas que tinha guardado utilizando o LastPass.
O processo prossegue alegando que o Doe “nunca transmitiu intencionalmente informações sensíveis pessoalmente identificáveis não encriptadas ou informações que de outra forma são confidenciais sobre qualquer fonte não segura” e que é “completamente diligente” na obtenção das suas informações pessoais. Por esta razão, a única forma de o seu Bitcoin poder ter sido roubado é se as partes maliciosas obtivessem acesso à sua senha principal e, portanto, às chaves privadas do seu cofre de Bitcoin.
A LastPass manteve, no entanto, que seria “extremamente difícil tentar forçar brutalmente as senhas mestras” devido aos métodos de hashing e encriptação utilizados para proteger os clientes. A empresa observou também que seriam necessários “milhões de anos para adivinhar [a] senha mestra utilizando a tecnologia de quebra de senha geralmente disponível” se os clientes seguissem as suas directrizes de melhores práticas para a criação de senhas mestras.
A empresa de gestão de senhas também declarou que “os dados sensíveis do cofre, tais como nomes de utilizador e senhas, notas seguras, anexos e campos de preenchimento de formulários” tinham permanecido codificados em segurança devido à arquitectura de conhecimento zero da LastPass.
As violações de dados do “LastPass” 2022
Em Agosto e Novembro de 2022, a LastPass sofreu duas violações de dados ligados que resultaram em informações confidenciais de clientes a serem comprometidas.
A quebra de Agosto viu um actor malicioso roubar código fonte e informação técnica do ambiente de desenvolvimento da LastPass, que foi depois utilizada para atingir um empregado. Isto permitiu ao hacker obter acesso a credenciais e chaves, que depois utilizaram para aceder ao serviço de armazenamento em nuvem de terceiros da LastPass, em Novembro de 2022. Utilizando as chaves, a parte maliciosa conseguiu decifrar alguns volumes de armazenamento dentro do serviço de armazenamento.
Após a desencriptação da informação, o hacker acedeu e copiou informação armazenada numa cópia de segurança na nuvem que incluía “informação básica da conta do cliente e metadados relacionados”. O número de clientes afectados ainda não foi partilhado.
LastPass explicou que o hacker também foi capaz de “copiar uma cópia de segurança dos dados do cofre do cliente a partir do contentor de armazenamento encriptado que é armazenado num formato binário proprietário que contém tanto dados não encriptados, tais como URLs de websites”, como também “campos sensíveis totalmente encriptados, tais como nomes de utilizador e palavras-passe de websites, notas seguras e dados preenchidos por formulários”.
A empresa de gestão de senhas tranquilizou os seus clientes quanto à segurança dos seus dados encriptados, observando que todos os ficheiros encriptados permanecem “seguros com encriptação AES de 256 bits”, o que significa que precisam de uma chave de encriptação única derivada da senha de cada utilizador para a decifrar. Como a LastPass não sabe, armazena ou mantém as palavras-passe dos utilizadores, isto reduz a hipótese de compromisso.
Apesar disso, a LastPass ainda alertou os seus clientes para terem cuidado com a engenharia social ou ataques de phishing na sequência do ataque.