A primeira coisa que os assinantes do LastPass precisam fazer é encontrar um novo gerenciador de senhas.
O LastPass, um dos gerenciadores de senhas mais populares do mundo, está mais uma vez sob o microscópio após sua última violação de segurança. No final de dezembro, o CEO do LastPass, Karim Toubba, revelou em um post de blog que um incidente de segurança que a empresa divulgou pela primeira vez em agosto abriu caminho para que uma parte não autorizada roubasse informações da conta do cliente e dados do cofre. Este é o mais recente de uma longa série de incidentes de segurança envolvendo o LastPass que datam de 2011. É também o mais alarmante.
Uma parte não autorizada agora tem acesso a informações não criptografadas da conta do assinante, como nomes de usuário do LastPass, nomes de empresas, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP, de acordo com Toubba. Essa mesma parte não autorizada também tem uma cópia dos dados do cofre do cliente, que inclui dados não criptografados, como URLs de sites, e dados criptografados, como nomes de usuário e senhas de todos os sites que os clientes salvaram em seus cofres. Se você é assinante do LastPass, a gravidade dessa violação deve fazer com que você procure um gerenciador de senhas diferente, pois suas senhas e dados pessoais correm o risco de serem expostos.
O que os assinantes do LastPass devem fazer?
A empresa não especificou quantos usuários foram afetados pela violação e o LastPass não respondeu ao pedido da para comentários adicionais sobre a violação. Mas se você é assinante do LastPass, precisa operar sob a suposição de que seus dados de usuário e cofre estão nas mãos de uma parte não autorizada com más intenções. Embora os dados mais confidenciais sejam criptografados, o problema é que o agente da ameaça pode executar ataques de “força bruta” nesses arquivos locais roubados. O LastPass estima que levaria “milhões de anos” para adivinhar sua senha mestra – se você seguir suas práticas recomendadas.
Se você não tiver – ou se apenas deseja total tranquilidade – precisará gastar muito tempo e esforço para alterar suas senhas individuais. E enquanto você estiver fazendo isso, provavelmente desejará fazer a transição do LastPass também.
Com isso em mente, aqui está o que você precisa fazer agora se for um assinante do LastPass:
1. Encontre um novo gerenciador de senhas. Dado o histórico do LastPass com incidentes de segurança e considerando a gravidade desta última violação, agora é um momento melhor do que nunca para buscar uma alternativa.
2. Altere suas senhas de nível de site mais importantes imediatamente. Isso inclui senhas para serviços bancários online, registros financeiros, logins internos da empresa e informações médicas. Certifique-se de que essas novas senhas sejam fortes e únicas.
3. Altere todas as suas outras senhas online. É uma boa ideia alterar suas senhas em ordem de importância aqui também. Comece alterando as senhas de contas como e-mail e perfis de mídia social, então você pode começar a voltar para outras contas que podem não ser tão críticas.
4. Ative a autenticação de dois fatores sempre que possível. Depois de alterar suas senhas, certifique-se de habilitar o 2FA em qualquer conta online que o ofereça. Isso lhe dará uma camada adicional de proteção, alertando-o e exigindo que você autorize cada tentativa de login. Isso significa que, mesmo que alguém acabe obtendo sua nova senha, não poderá obter acesso a um determinado site sem seu dispositivo de autenticação secundário (normalmente seu telefone).
5. Altere sua senha mestra. Embora isso não altere o nível de ameaça aos cofres roubados, ainda é prudente ajudar a mitigar as ameaças de qualquer possível ataque futuro – isto é, se você decidir que deseja permanecer com o LastPass.
Alternativas do LastPass a serem consideradas
Como chegou a isso?
Em agosto de 2022, o LastPass publicou uma postagem no blog escrita por Toubba dizendo que a empresa “determinou que uma parte não autorizada obteve acesso a partes do ambiente de desenvolvimento do LastPass por meio de uma única conta de desenvolvedor comprometida e pegou partes do código-fonte e algumas informações técnicas proprietárias do LastPass. “
Na época, Toubba disse que a ameaça foi contida depois que o LastPass “contratou uma empresa líder em segurança cibernética e forense” e implementou “medidas de segurança aprimoradas”. Mas essa postagem no blog seria atualizada várias vezes nos meses seguintes, à medida que o escopo da violação aumentava gradualmente.
Em 15 de setembro, Toubba atualizou a postagem do blog para notificar os clientes de que a investigação da empresa sobre o incidente havia sido concluída.
“Nossa investigação revelou que a atividade do agente da ameaça foi limitada a um período de quatro dias em agosto de 2022. Durante esse período, a equipe de segurança do LastPass detectou a atividade do agente da ameaça e conteve o incidente”, disse Toubba. “Não há evidências de nenhuma atividade de agente de ameaça além do cronograma estabelecido. Também podemos confirmar que não há evidências de que esse incidente tenha envolvido qualquer acesso a dados de clientes ou cofres de senhas criptografadas.”
Toubba garantiu aos clientes na época que suas senhas e dados pessoais estavam seguros sob os cuidados do LastPass.
No entanto, descobriu-se que a parte não autorizada conseguiu acessar os dados do cliente. Em 30 de novembro, Toubba atualizou a postagem do blog mais uma vez para alertar os clientes de que a empresa “determinou que uma parte não autorizada, usando informações obtidas no incidente de agosto de 2022, conseguiu obter acesso a certos elementos das informações de nossos clientes”.
Então, em 22 de dezembro, Toubba publicou uma longa atualização na postagem do blog, descrevendo os detalhes enervantes sobre exatamente quais dados do cliente os hackers conseguiram acessar na violação. Foi então que toda a gravidade da situação finalmente veio à tona e o público descobriu que os dados pessoais dos clientes do LastPass estavam nas mãos de um agente de ameaças e todas as suas senhas corriam sério risco de serem expostas.
Ainda assim, Toubba garantiu aos clientes que seguem as práticas recomendadas do LastPass para senhas e têm as configurações padrão mais recentes habilitadas que nenhuma ação adicional de sua parte é recomendada no momento, pois seus “dados confidenciais do cofre, como nomes de usuário e senhas, notas seguras, anexos e campos de preenchimento de formulário, permanecem criptografados com segurança com base na arquitetura Zero Knowledge do LastPass.”
No entanto, Toubba alertou que aqueles que não têm as configurações padrão do LastPass habilitadas e não seguem as melhores práticas do gerenciador de senhas correm maior risco de ter suas senhas mestras quebradas. Toubba sugeriu que esses usuários deveriam considerar alterar as senhas dos sites que eles armazenaram.
O que tudo isso significa para os assinantes do LastPass?
A violação inicial acabou permitindo que a parte não autorizada acessasse dados confidenciais da conta do usuário, bem como dados do cofre, o que significa que os assinantes do LastPass devem estar extremamente preocupados com a integridade dos dados que armazenaram em seus cofres e devem questionar a capacidade do LastPass de manter seus dados seguros.
Se você for um assinante do LastPass, uma parte não autorizada pode ter acesso a informações pessoais como seu nome de usuário do LastPass, endereço de e-mail, número de telefone, nome e endereço de cobrança. Os endereços IP usados ao acessar o LastPass também foram expostos na violação, o que significa que a parte não autorizada também pode ver os locais de onde você usou sua conta. E como o LastPass não criptografa URLs de sites armazenados pelos usuários, a parte não autorizada pode ver todos os sites para os quais você possui informações de login salvas com o gerenciador de senhas (mesmo que as próprias senhas sejam criptografadas).
Informações como essa fornecem a um invasor em potencial muita munição para lançar um ataque de phishing e criar socialmente seu caminho para as senhas de sua conta. E se você tiver algum link de redefinição de senha armazenado que ainda possa estar ativo, um invasor pode facilmente criar uma nova senha para si.
O LastPass diz que os dados criptografados do cofre, como nomes de usuário e senhas, notas seguras e dados preenchidos em formulários que foram roubados, permanecem protegidos. No entanto, se um invasor quebrar sua senha mestra no momento da violação, ele poderá acessar todas essas informações, incluindo todos os nomes de usuário e senhas de suas contas online. Se sua senha mestra não era forte o suficiente no momento da violação, suas senhas correm o risco de serem expostas.
Alterar sua senha mestra agora, infelizmente, não ajudará a resolver o problema porque os invasores já possuem uma cópia do seu cofre que foi criptografada usando a senha mestra que você tinha no momento da violação. Isso significa que os invasores têm essencialmente uma quantidade ilimitada de tempo para quebrar essa senha mestra. É por isso que o curso de ação mais seguro é redefinir a senha site por site para todas as suas contas armazenadas no LastPass. Uma vez alterado no nível do site, isso significaria que os invasores obteriam suas senhas antigas e desatualizadas se conseguissem quebrar os cofres criptografados roubados.
Para saber mais sobre como se manter seguro on-line, aqui estão as dicas de privacidade de dados que os especialistas em segurança digital gostariam que você soubesse e as configurações do navegador a serem alteradas para proteger melhor suas informações.