LastPass, ataque de hackers: o gerenciador de senhas e o incidente de segurança
O LastPass, um famoso gerenciador de senhas, foi vítima de um ataque de hackers. O anúncio foi feito em 25 de agosto pelo CEO da empresa em um post no blog , explicando aos usuários a dinâmica do incidente e as consequências nos dados pessoais. Após o incidente, a empresa já implementou e colocou em operação medidas de segurança adicionais.
Milhões de pessoas agora mudaram para o gerenciamento centralizado de senhas digitais – é conveniente, seguro e minimiza o erro humano. Mesmo que estejamos mudando para um mundo sem senhas , as palavras-chave ainda são difíceis, e usar um gerenciador de senhas como o LastPass é certamente muito conveniente.
LastPass, o gerenciador de senhas
O LastPass é um dos gerenciadores de senhas mais usados no mundo: estamos falando de mais de 33 milhões de usuários ativos e 100 mil empresas. Nos últimos anos, mais e mais pessoas começaram a usar este e outros gerenciadores de senhas para manter suas senhas seguras.
Este "seguro" permite armazenar senhas e chaves de acesso a todos os sites e plataformas em que efetuamos login. O LastPass prevê a criação de uma conta mestra que é usada para acessar seu cofre. A senha mestra não é recuperável: se você a esquecer, poderá dizer adeus a todas as suas senhas salvas.
O serviço, disponível tanto como extensão do navegador quanto como aplicativo móvel, alivia o usuário do fardo de ter que lembrar de todas as senhas, com o risco de esquecê-las ou salvá-las de forma insegura. Toda vez que você faz login, o LastPass permite que você salve seus dados de acesso (criptografados) para poder inseri-los com um clique no futuro. A criptografia é sempre local e as senhas, incluindo a master, nunca são enviadas aos servidores da empresa.
O LastPass também oferece um gerador de senhas, um recurso que permite criar senhas complexas que são salvas automaticamente no cofre. O serviço também permite que você armazene cartões de saúde e de membro , para que você possa tê-los ao seu alcance a qualquer momento.
LastPass vítima de um ataque de hacker
Infelizmente, o LastPass também foi vítima de um ataque de hackers anunciado há alguns dias. O CEO da empresa, Karim Toubba, postou uma nota no blog para informar os usuários sobre o incidente de segurança. Toubba queria tranquilizar os assinantes, especificando que aparentemente não houve violações relacionadas aos dados do usuário.
De fato, parece que o hacker conseguiu ter acesso “apenas” aos dados técnicos da plataforma e a uma parte do código-fonte. As verificações de segurança detectaram atividades suspeitas cerca de duas semanas atrás; das análises efetuadas emergiu então que, através de uma conta de funcionário, o hacker tinha livre acesso ao código de serviço. No entanto, ainda há investigações em andamento, mas parece que os usuários podem ficar tranquilos.
Duas semanas atrás, vimos uma atividade estranha em algumas partes do ambiente de desenvolvimento do LastPass. Após uma investigação imediata, não encontramos evidências de que o incidente envolvesse o acesso a dados de clientes ou seus cofres. (…) Em resposta ao incidente, desenvolvemos medidas de contenção e mitigação e contratamos uma empresa de cibersegurança e computação forense. À medida que a investigação continua, atingimos um estado de contenção, implementamos novas medidas de segurança e melhoramos as existentes, e não notamos mais nenhuma atividade não autorizada.
Karim Toubba
No entanto, a empresa introduziu medidas de segurança adicionais após o incidente. Mesmo que as senhas não sejam armazenadas em servidores corporativos, os invasores ainda podem tentar obter e-mails de assinantes ou alterar a funcionalidade do LastPass.
No momento, não foi solicitada nenhuma ação aos usuários: não é necessário alterar ou gerar novamente as senhas de suas contas, nem alterar a senha mestra. Para quem ainda não o ativou, é aconselhável introduzir a autenticação de dois fatores , independentemente do incidente dos últimos dias.
O artigo do LastPass, Hacker Attack: The Password Manager and the Security Incident foi escrito em: Tech CuE | Engenharia de close-up .
