LastPass emite atualização sobre violação de dados, mas usuários ainda devem alterar senhas –
Você ainda precisa tomar medidas para proteger seus dados, embora o LastPass tenha dito que não viu nenhuma atividade relacionada a ameaças desde outubro.
O LastPass, um dos gerenciadores de senhas mais populares do mundo, sofreu uma grande violação de dados em 2022 que comprometeu os dados pessoais dos usuários e colocou em risco suas senhas online e outras informações confidenciais.
Em 22 de dezembro, o CEO do LastPass, Karim Toubba, reconheceu em uma postagem de blog que um incidente de segurança divulgado pela empresa pela primeira vez em agosto abriu caminho para que uma “parte não autorizada” roubasse informações da conta do cliente e dados confidenciais do cofre. A violação é a mais recente de uma longa e preocupante série de incidentes de segurança envolvendo o LastPass, que remontam a 2011.
É também o mais alarmante.
A parte não autorizada conseguiu obter acesso a informações não criptografadas da conta do cliente, como nomes de usuário do LastPass, nomes de empresas, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP, de acordo com Toubba. Essa mesma parte não autorizada também foi capaz de roubar dados do cofre do cliente, que incluem dados não criptografados, como URLs de sites, bem como dados criptografados, como nomes de usuário e senhas de todos os sites que os usuários do LastPass armazenaram em seus cofres.
Enquanto isso, o LastPass concluiu uma “investigação exaustiva” sobre a violação, de acordo com uma postagem de blog publicada por Toubba na quarta-feira, 1º de março, que atualiza os clientes sobre as ações que a empresa tomou após a violação. Toubba prometeu consertar as coisas para os clientes e prometeu uma comunicação mais eficaz daqui para frente, acrescentando que a empresa “não vê nenhuma atividade de agente de ameaça desde 26 de outubro de 2022”.
Mesmo assim, se você for um assinante do LastPass, a gravidade dessa violação deve fazer com que você procure um gerenciador de senhas diferente, porque suas senhas e dados pessoais ainda correm sério risco de serem expostos. No mínimo, você precisa alterar todas as senhas que armazenou com o LastPass imediatamente, caso ainda não o tenha feito.
O que os assinantes do LastPass devem fazer?
A empresa não especificou quantos usuários foram afetados e o LastPass não respondeu ao pedido da para comentários adicionais sobre a violação. Mas se você é assinante do LastPass, precisa operar sob a suposição de que seus dados de usuário e cofre estão nas mãos de uma parte não autorizada com más intenções. Embora os dados mais confidenciais sejam criptografados, o problema é que o agente da ameaça pode executar ataques de “força bruta” nesses arquivos locais roubados. O LastPass estima que levaria “milhões de anos” para adivinhar sua senha mestra – se você seguir suas práticas recomendadas.
Se você não tiver – ou se apenas deseja total tranquilidade – precisará gastar muito tempo e esforço para alterar suas senhas individuais. E enquanto você estiver fazendo isso, provavelmente desejará fazer a transição do LastPass também.
Com isso em mente, eis o que você precisa fazer imediatamente se for assinante do LastPass:
1. Encontre um novo gerenciador de senhas. Dado o histórico do LastPass com incidentes de segurança e considerando a gravidade desta última violação, agora é um momento melhor do que nunca para buscar uma alternativa.
2. Altere suas senhas de nível de site mais importantes imediatamente. Isso inclui senhas para serviços bancários online, registros financeiros, logins internos da empresa e informações médicas. Certifique-se de que essas novas senhas sejam fortes e exclusivas.
3. Altere todas as suas outras senhas online. É uma boa ideia alterar suas senhas em ordem de importância aqui também. Comece alterando as senhas de contas como e-mail e perfis de mídia social, então você pode começar a voltar para outras contas que podem não ser tão críticas.
4. Ative a autenticação de dois fatores sempre que possível. Depois de alterar suas senhas, certifique-se de habilitar o 2FA em qualquer conta online que o ofereça. Isso lhe dará uma camada adicional de proteção, alertando-o e exigindo que você autorize cada tentativa de login. Isso significa que, mesmo que alguém acabe obtendo sua nova senha, não poderá obter acesso a um determinado site sem seu dispositivo de autenticação secundário (normalmente seu telefone).
5. Altere sua senha mestra. Embora isso não altere o nível de ameaça aos cofres roubados, ainda é prudente ajudar a mitigar as ameaças de qualquer possível ataque futuro – isto é, se você decidir que deseja permanecer com o LastPass.
Alternativas do LastPass a serem consideradas
Como chegou a isso?
Em agosto de 2022, o LastPass publicou uma postagem no blog escrita por Toubba dizendo que a empresa “determinou que uma parte não autorizada obteve acesso a partes do ambiente de desenvolvimento do LastPass por meio de uma única conta de desenvolvedor comprometida e pegou partes do código-fonte e algumas informações técnicas proprietárias do LastPass. “
Na época, Toubba disse que a ameaça foi contida depois que o LastPass “contratou uma empresa líder em segurança cibernética e forense” e implementou “medidas de segurança aprimoradas”. Mas essa postagem no blog seria atualizada várias vezes nos meses seguintes, à medida que o escopo da violação aumentava gradualmente.
Em 15 de setembro, Toubba atualizou a postagem do blog para notificar os clientes de que a investigação da empresa sobre o incidente havia sido concluída.
“Nossa investigação revelou que a atividade do agente da ameaça foi limitada a um período de quatro dias em agosto de 2022. Durante esse período, a equipe de segurança do LastPass detectou a atividade do agente da ameaça e conteve o incidente”, disse Toubba. “Não há evidências de nenhuma atividade de agente de ameaça além do cronograma estabelecido. Também podemos confirmar que não há evidências de que esse incidente tenha envolvido qualquer acesso a dados de clientes ou cofres de senhas criptografadas.”
Toubba garantiu aos clientes na época que suas senhas e dados pessoais estavam seguros sob os cuidados do LastPass.
No entanto, descobriu-se que a parte não autorizada conseguiu acessar os dados do cliente. Em 30 de novembro, Toubba atualizou a postagem do blog mais uma vez para alertar os clientes de que a empresa “determinou que uma parte não autorizada, usando informações obtidas no incidente de agosto de 2022, conseguiu obter acesso a certos elementos das informações de nossos clientes”.
Então, em 22 de dezembro, Toubba publicou uma longa atualização na postagem do blog, descrevendo os detalhes enervantes sobre exatamente quais dados do cliente os hackers conseguiram acessar na violação. Foi então que toda a gravidade da situação finalmente veio à tona e o público descobriu que os dados pessoais dos clientes do LastPass estavam nas mãos de um agente de ameaças e todas as suas senhas corriam sério risco de serem expostas.
Ainda assim, Toubba garantiu aos clientes que seguem as práticas recomendadas do LastPass para senhas e têm as configurações padrão mais recentes habilitadas que nenhuma ação adicional de sua parte é recomendada no momento, pois seus “dados confidenciais do cofre, como nomes de usuário e senhas, notas seguras, anexos e campos de preenchimento de formulário, permanecem criptografados com segurança com base na arquitetura Zero Knowledge do LastPass.”
No entanto, Toubba alertou que aqueles que não têm as configurações padrão do LastPass habilitadas e não seguem as melhores práticas do gerenciador de senhas correm maior risco de ter suas senhas mestras quebradas. Toubba sugeriu que esses usuários deveriam considerar alterar as senhas dos sites que eles armazenaram.
Em 1º de março, Toubba publicou uma nova postagem no blog oferecendo aos clientes uma longa atualização sobre a situação, quais dados foram acessados e quais etapas o LastPass tomou para reforçar sua segurança. Na postagem do blog, o LastPass também ofereceu suas próprias recomendações sobre o que clientes empresariais e individuais devem fazer para proteger seus dados.
A empresa concluiu sua investigação sobre a violação de dados e disse que não detectou nenhuma atividade não autorizada desde outubro, de acordo com a postagem no blog. Além disso, em resposta à violação, o LastPass “priorizou e iniciou investimentos significativos em segurança, privacidade e melhores práticas operacionais” e “realizou uma revisão abrangente de nossas políticas de segurança e incorporou alterações para restringir acesso e privilégio, quando apropriado”, de acordo com o postagem no blog.
O que tudo isso significa para os assinantes do LastPass?
A violação inicial acabou permitindo que a parte não autorizada acessasse dados confidenciais da conta do usuário, bem como dados do cofre, o que significa que os assinantes do LastPass devem estar extremamente preocupados com a integridade dos dados que armazenaram em seus cofres e devem questionar a capacidade do LastPass de manter seus dados seguros – mesmo considerando as últimas melhorias de segurança descritas pela empresa em sua última postagem no blog.
Se você for um assinante do LastPass, uma parte não autorizada pode ter acesso a informações pessoais como seu nome de usuário do LastPass, endereço de e-mail, número de telefone, nome e endereço de cobrança. Os endereços IP usados ao acessar o LastPass também foram expostos na violação, o que significa que a parte não autorizada também pode ver os locais de onde você usou sua conta. E como o LastPass não criptografa URLs de sites armazenados pelos usuários, a parte não autorizada pode ver todos os sites para os quais você possui informações de login salvas com o gerenciador de senhas (mesmo que as próprias senhas sejam criptografadas).
Informações como essa fornecem a um invasor em potencial muita munição para lançar um ataque de phishing e criar socialmente seu caminho para as senhas de sua conta. E se você tiver algum link de redefinição de senha armazenado que ainda possa estar ativo, um invasor pode facilmente criar uma nova senha para si.
O LastPass diz que os dados criptografados do cofre, como nomes de usuário e senhas, notas seguras e dados preenchidos em formulários que foram roubados, permanecem protegidos. No entanto, se um invasor quebrar sua senha mestra no momento da violação, ele poderá acessar todas essas informações, incluindo todos os nomes de usuário e senhas de suas contas online. Se sua senha mestra não era forte o suficiente no momento da violação, suas senhas correm o risco de serem expostas.
Alterar sua senha mestra agora, infelizmente, não ajudará a resolver o problema porque os invasores já possuem uma cópia do seu cofre que foi criptografada usando a senha mestra que você tinha no momento da violação. Isso significa que os invasores têm essencialmente uma quantidade ilimitada de tempo para quebrar essa senha mestra. É por isso que o curso de ação mais seguro é redefinir a senha site por site para todas as suas contas armazenadas no LastPass. Uma vez alterado no nível do site, isso significaria que os invasores obteriam suas senhas antigas e desatualizadas se conseguissem quebrar os cofres criptografados roubados.
Para saber mais sobre como se manter seguro on-line, aqui estão as dicas de privacidade de dados que os especialistas em segurança digital gostariam que você soubesse e as configurações do navegador a serem alteradas para proteger melhor suas informações.