LastPass revela como foi hackeado – e não é uma boa notícia

gurinho

O ano passado foi particularmente ruim para o gerenciador de senhas LastPass, já que uma série de incidentes de hackers revelou alguns pontos fracos sérios em sua segurança supostamente sólida. Agora, sabemos exatamente como esses ataques aconteceram – e os fatos são de tirar o fôlego.

Tudo começou em agosto de 2022, quando o LastPass revelou que um agente de ameaças havia roubado o código-fonte do aplicativo . Em um segundo ataque subsequente, o hacker combinou esses dados com informações encontradas em uma violação de dados separada e explorou uma falha em um aplicativo de acesso remoto usado por funcionários do LastPass. Isso lhes permitiu instalar um keylogger no computador de um engenheiro sênior da empresa.

Uma representação de um hacker invadindo um sistema por meio do uso de código.

Uma vez que o keylogger estivesse no lugar, os hackers poderiam coletar a senha mestra do LastPass do engenheiro assim que ela fosse inserida, concedendo-lhes acesso ao cofre do funcionário – e todos os segredos contidos nele.

Eles usaram esse acesso para exportar o conteúdo do cofre. Aninhadas entre os dados estavam as chaves de descriptografia necessárias para descriptografar os backups de clientes armazenados no sistema de armazenamento em nuvem do LastPass.

Isso é importante porque o LastPass manteve backups de produção e backups de banco de dados críticos na nuvem. Uma grande quantidade de dados confidenciais de clientes também foi roubada, embora pareça que os hackers não conseguiram descriptografá-los. Uma página de suporte do LastPass detalha exatamente o que foi roubado .

Transparência questionável

Felizmente para os usuários do LastPass, parece que os dados mais confidenciais dos clientes – como (a maioria) endereços de e-mail e senhas – foram criptografados usando um método de conhecimento zero. Isso significa que eles foram criptografados com uma chave derivada da senha mestra de cada usuário e desconhecida do LastPass. Quando os hackers roubaram os dados do LastPass, eles não conseguiram obter essas chaves de descriptografia porque não foram armazenadas em nenhum lugar pelo LastPass.

Dito isso, muitos dados importantes foram obtidos pelos agentes da ameaça. Isso incluiu backups do banco de dados de autenticação multifator do LastPass, segredos de API, metadados de clientes, dados de configuração e muito mais. Além disso, parece que vários produtos além do LastPass também foram violados .

Em uma página de suporte , o LastPass disse que a maneira como o segundo ataque foi realizado – usando detalhes genuínos de login de funcionários – dificultou a detecção. No final, a empresa percebeu que algo estava errado quando seu sistema AWS GuardDuty Alerts alertou que alguém estava tentando usar suas funções de Cloud Identity and Access Management para realizar atividades não autorizadas.

Um monitor grande exibindo um aviso de violação de hacking de segurança.

O LastPass recebeu muitas críticas sobre como lidou com os ataques nos últimos meses, e é improvável que essa desaprovação diminua à luz das últimas revelações. Na verdade, uma empresa de segurança chegou a dizer que o LastPass não era um aplicativo confiável e que os usuários deveriam mudar para diferentes gerenciadores de senhas .

No momento, o LastPass aparentemente está tentando ocultar suas páginas de suporte a ataques dos mecanismos de pesquisa, adicionando o código “<meta name=”robots” content=”noindex”>” às páginas. Isso apenas tornará mais difícil para os usuários (e para o mundo em geral) descobrir o que aconteceu e dificilmente parece ser feito com espírito de transparência e responsabilidade. Nada foi publicado no blog da empresa também.

Se você é um cliente do LastPass, pode ser melhor encontrar um aplicativo alternativo. Felizmente, existem muitos outros excelentes gerenciadores de senhas por aí que podem proteger suas informações importantes de maneira confiável.