[ad_1]
Atualização (01/03/2023) – EB
Em agosto de 2022 a LastPass sofreu um ataque hacker e confirmou que dados e senhas de seus clientes foram comprometidos meses depois, divulgando um relatório detalhado em dezembro. Agora a empresa está detalhando como a invasão ocorreu envolvendo dois funcionários de alto nível da LastPass.
As informações foram divulgadas em um comunicado de imprensa publicado pela LastPass na última segunda-feira (27). Nele é dito que o computador invadido foi de um engenheiro sênior de DevOps da LastPass, que é um dos quatro que possuem chaves de descriptografia com acesso total ao ambiente em nuvem do aplicativo.
O hacker utilizou um keylogger, um malware que registra a digitação do usuário para roubar a senha mestra da conta LastPass do funcionário, onde as chaves de acesso estavam armazenadas no cofre integrado.
O hacker exportou as entradas nativas do cofre corporativo e o conteúdo de pastas compartilhadas, que continham notas seguras criptografadas com chaves de acesso e descriptografia necessárias para acessar os backups AWS S3 da LastPass, outros recursos de armazenamento baseados em nuvem e alguns backups de banco de dados críticos relacionados.
Desta forma, é possível concluir que o hacker teve acesso total as informações armazenadas na nuvem da LastPass, comprometendo todas os dados armazenados lá, o que é gravíssimo.
Para se ter uma noção, o jornalista Joseph Cox, da Motherboard, recomenda fortemente que os usuários excluam todo o conteúdo da sua conta LastPass e não utilizem o aplicativo mais, pois a empresa foi desonesta com seus clientes ao negar o vazamento de dados inicialmente, prejudicando a privacidade e segurança dos usuários.
Desta forma, o recomendado é excluir todos os dados armazenados na sua conta LastPass e alterar as senhas, além de alterar todos os dados possíveis como números de cartões de crédito, carteiras digitais o que mais estivesse guardado no Cofre do aplicativo, além de deixar de utilizá-lo.
Em resposta, a LastPass afirma que reforçou todos os seus sistemas de segurança e de seus funcionários, mas será que é possível confiar nesta promessa após um incidente tão grave e tantas tentativas de ocultar o vazamento?
Atualização (26/01/2022) – LR
LastPass divulga novo relatório sobre exposição de senhas após ataque hacker
A GoTo, controladora da plataforma LastPass, emitiu um novo comunicado esta semana tratando sobre uma exposição de dados dos usuários que aconteceu no segundo semestre do ano passado. Em dezembro de 2022 a divisão de segurança cibernética da companhia reconheceu que as informações dos clientes foram afetadas pela invasão, mas sem muitos detalhes.
Segundo informações, as senhas vazadas estavam criptografadas, no entanto, os hackers também conseguiram obter o código de acesso para visualizar na íntegra as palavras-passe. O relatório recente afirma que apenas os serviços da GoTo foram afetados pelo ataque aos servidores, como Hamachi, RemotelyAnywhere, Join.me e Central, por exemplo.
Embora esses serviços tenham sido afetados, a empresa destaca que as informações vazadas variam podendo incluir nome de usuário, endereço de e-mail, senha, configurações do MFA e até mesmo licenças de produtos. A GoTo reforça que os dados de pagamento não foram preudicados pois não são armazenados pela empresa.
A orientação dos especialistas é de que os usuários do LastPass substituam suas senhas cadastradas no serviço por opções mais seguras a fim de evitar fraudes e invasões em suas redes sociais e serviços cujas informações estavam armazenadas nos servidores da GoTo.
Atualização (23/12/2022) – HA
A novela da invasão hacker no serviço de senhas LastPass se estende desde agosto, quando a empresa de segurança reconheceu o ataque, mas acalmou seus clientes, dizendo que apenas dados irrelevantes haviam sido obtidos pelos invasores. O alerta voltou em novembro, dizendo que dados dos clientes foram, sim, afetados.
Por fim, nessa última quinta-feira (22), a notícia é pior, com o serviço reconhecendo que os hackers tiveram acesso aos “cofres” com as senhas de todos os usuários. Isso significa, pelo menos em teoria, que eles teriam acesso a todas as senhas caso consigam descriptografar a senha mestra desses conjuntos.
Segundo a empresa, os hackers foram capazes de “copiar um backup dos dados do cofre do cliente”. Uma senha mestra forte pode ajudar e muito nessas horas, mas para quem não liga muito para esse quesito, avisa a empresa, como medida extra de segurança, vale mesmo alterar as senhas de todos os serviços e sites guardados no LastPass.
A empresa diz que não há evidências de que nenhum dado de cartão de crédito não criptografado tenha sido acessado, mas o impacto real desse ataque ainda está fora das estimativas. Além disso, a empresa não confirma se esses cofres são mesmo tão seguros, ou se os hackers não podem simplesmente seguir destravando todo o material que colheram na invasão ao longo de meses.
Com um anúncio desses a poucos dias do Natal, já com várias equipes em férias, a ver se empresas que usam o serviço tomarão as medidas necessárias para mitigar as possíveis tragédias.
Atualização (1º/12/2022) – HA
Alguns meses atrás, o serviço de criptografia de senhas LastPass reconheceu que sofreu um ataque hacker mas que, na ocasião, não havia afetado nenhum dado de seus clientes, já que sua tecnologia de ponta a ponta deixa que o assinante apenas tenha a chave de descriptografia.
Bem, agora a LogMeIn, empresa proprietária da LastPass, veio corrigir a história. Embora o ataque inicial não tenha permitido acesso aos dados dos clientes, as informações obtidas por meio da invasão acabaram, no fim das contas, sendo usadas para surrupiar informações dos usuários.
Em um post, a empresa disse ter detectado atividades incomuns em um serviço de armazenamento em nuvem terceirizado, atualmente compartilhado pelo LastPass e sua afiliada, GoTo.
“Imediatamente iniciamos uma investigação, contratamos a Mandiant, uma importante empresa de segurança, e alertamos as autoridades”, diz o texto. “Soubemos que um parte não autorizada, usando as informações obtidas no incidente de agosto de 2022, conseguiu obter acesso a determinados elementos das informações de nossos clientes. As senhas de nossos clientes permanecem criptografadas com segurança devido à arquitetura Zero Knowledge do LastPass.”
O CEO da empresa, Karim Toubba, diz que ainda está trabalhando para determinar o escopo do ataque e identificar quais dados especificamente foram acessados.
Por ora, a empresa seguiu indicando aos usuários suas recomendações de segurança para usar o LastPass — a mais importante é de naturalmente ter uma senha mestra forte, com 12 caracteres ou mais, misturando letras maiúsculas, minúsculas, números e caracteres especiais, como já é bem sabido.
Texto original (26/8/2022)
Quem usa um gerenciador de senhas está confiando em uma organização, basicamente, as chaves de acesso a muitas informações importantes de sua vida — daí ser uma escolha bastante difícil. Além de pensar nos recursos oferecidos pelas plataformas, sejam gratuitas ou pagas, é necessário ainda ver o histórico de segurança e privacidade delas. Agora, uma notícia confirmada pela LastPass vem afetar mais um pouco a reputação do serviço.
Isso porque a LastPass, um dos gerenciadores de senha mais populares do mercado, foi vítima de uma violação de segurança há algumas semanas. A informação foi detalhada em uma postagem no blog da empresa pelo seu CEO, Karim Toubba. Ele conta que um hacker conseguiu acessar a área de desenvolvimento da plataforma por meio da conta de um desenvolvedor, que tinha uma falha de segurança, e roubou trechos do código-fonte do serviço e informações técnicas proprietárias.
No entanto, Toubba garante aos usuários que apesar do ocorrido, nenhum dado dos usuários ou senhas criptografadas tenham sido roubadas — pelo menos, por enquanto. Afinal, a invasão teria sido apenas nos “bastidores” de desenvolvimento da LastPass, não em seu banco de dados.
“Em resposta ao incidente”, escreve o CEO, “implantamos medidas de contenção e mitigação e contratamos uma empresa líder em segurança cibernética e forense. Enquanto nossa investigação está em andamento, alcançamos um estado de contenção, implementamos medidas de segurança aprimoradas adicionais e não vemos mais evidências de atividade não autorizada”.
Neste momento, os usuários não precisam, e nem poderiam, fazer nada a respeito. Os mais precavidos, porém, devem considerar configurar a autenticação de dois fatores para sua conta do LastPass, caso ainda não tenha feito isso.
E você, usa a LastPass? Qual sua experiência com a plataforma?
LastPass
Desenvolvedor: LogMeIn, Inc.
Grátis – oferece compras no app
Tamanho: 14M
[ad_2]
Source link