Hackers roubaram código-fonte do LastPass em incidente de violação de dados
Hoje, o LastPass confirmou uma violação de dados em uma postagem no blog descrevendo o incidente para seus clientes que confiam nos produtos da empresa para segurança online. A empresa enfatizou que os dados dos clientes não foram roubados na violação e que os usuários não precisam fazer nada para proteger seus dados.
Em um post escrito pelo CEO Karim Toubba, o LastPass afirmou o seguinte:
“Duas semanas atrás, detectamos alguma atividade incomum em partes do ambiente de desenvolvimento do LastPass. Após iniciar uma investigação imediata, não vimos evidências de que esse incidente tenha envolvido qualquer acesso a dados de clientes ou cofres de senhas criptografadas.”
A violação ocorreu por meio da conta de um desenvolvedor comprometido e a parte não autorizada fugiu com partes do código-fonte da empresa e informações técnicas proprietárias do LastPass.
Recentemente, detectamos atividades incomuns em partes do ambiente de desenvolvimento do LastPass e iniciamos uma investigação e implantamos medidas de contenção. Não temos evidências de que isso tenha envolvido qualquer acesso aos dados do cliente. Mais informações: https://t.co/cV8atRsv6d pic.twitter.com/HtPLvK0uEC
— LastPass (@LastPass) 25 de agosto de 2022
Toubba enfatizou que as informações do usuário estavam seguras e que a parte não autorizada não comprometeu nenhuma senha ou acessou os cofres do usuário.
Embora seja reconfortante saber que nenhum dado foi roubado no momento, o código-fonte roubado e as informações proprietárias podem ser um problema significativo e contribuir para tentativas de violação posteriores. O LastPass parece estar ciente dessa possibilidade, como Toubba acrescenta mais tarde que a empresa contratou uma “empresa líder em segurança cibernética e forense”.
Este é o segundo problema de dados que o LastPass enfrentou no ano passado. Em dezembro, alguns usuários do LastPass foram submetidos a um “ataque de preenchimento de credenciais” por hackers que tentavam acessar cofres pessoais. Segundo a empresa, as contas de ninguém foram comprometidas no ataque.
O LastPass diz que atualizará os clientes à medida que a empresa souber mais sobre o que aconteceu.
A violação de algumas semanas atrás ocorreu no ambiente de desenvolvimento, portanto, nenhuma senha do consumidor estava em risco. As senhas de usuário estão ocultas em cofres criptografados que só podem ser acessados pela senha mestra do usuário. O LastPass é amplamente considerado um dos melhores gerenciadores de senhas do mercado.
