LastPass sofreu uma violação de dados grave, que apesar de ter dito que manteria as senhas em lugar seguro, admite que hackers conseguiram fazer cópias de um backup de dados de clientes.
As senhas são criptografadas, porém se esses hackers conseguirem descriptografar, significa que teriam acesso a milhões de senhas.
A empresa afirma que os usuários que possuem uma senha mestra forte podem ficar tranquilos. Porém, quanto tem a senha mestra fraca, a empresa afirma que “como medida extra de segurança, você deve considerar minimizar o risco alterando as senhas dos sites que você armazenou”.
Isso significa que muitos usuários terão que alterar todas as senhas armazenadas no LastPass se não confiarem apenas na senha mestra.
A primeira violação de dados foi informada em agosto pela empresa, porém na época a informação foi de que dificilmente os dados de usuários teriam sido acessados. Já em novembro, ela disse que aparentemente terceiros teriam “obtido informações” a alguns dados de clientes.
Não foi dito diretamente, mas “obtido informações” quis dizer que os dados acessados de clientes são os mais importantes do serviço, as senhas e URLS armazenadas. Sobre a segurança dos clientes, a empresa diz que “não há evidências de que nenhum dado de cartão de crédito não criptografado tenha sido acessado”. Essa talvez não seja uma manifestação tão positiva quanto parece. Isso pois logins, que incluem usuário e senhas, armazenados de forma que possam ser acessadas pelo navegador podem incluir acessos bancários e mais uma infinidade de possibilidades.
Manifestação da LastPass quanto ao roubo de dados e senhas
Karim Toubba, CEO do LastPass se manifestou quanto o roubo de dados: “O agente da ameaça também conseguiu copiar um backup dos dados do cofre do cliente do contêiner de armazenamento criptografado, que é armazenado em um formato binário proprietário que contém dados não criptografados, como URLs de sites, bem como campos confidenciais totalmente criptografados, como nomes de usuários de sites. e senhas, notas seguras e dados preenchidos em formulários.”.
Ele minimiza o ocorrido pois informa que para que os hackers tenham acesso às senhas dos usuários, é necessário ter a senha mestra, que não é armazenada no serviço da LastPass. “Seria extremamente difícil tentar adivinhar senhas mestras à força bruta”, diz Toubba.
A informação de que apenas a senha mestra (que não é salva no LastPass) dá acesso aos dados criptografados não responde se esses dados tem algum tipo de segurança quanto a tentativas de força bruta para acessá-los.
Medida para criação de senhas mais fortes foram introduzidas em 2018 no LastPass
Os usuários que utilizam o serviço de 2018 pra cá foram obrigados a criar uma senha mestra mais segura, como por exemplo com a inclusão de caracteres especiais. Com isso, esses usuários teoricamente tem mais segurança quanto a força bruta, além dos que já utilizam o serviço antes desse período, porém alteraram a senha após 2018.
O que mais pode preocupar os usuários do LastPass
O que mais pode preocupar os usuários quanto a seus dados, é em relação aqueles não criptografados. Nesses dados são incluídos URLs, com isso, os hacker podem ter uma boa noção de quais sites o usuário tem conta. Assim, os hackers podem não só tentar acesso a essas contas, como organizar envios de phishing com mais chance de sucesso. Essa é uma das estratégias mais utilizadas por quem rouba contas e obtém acessos a dados sigilosos, como já abordamos sobre o crescente roubo de redes sociais anteriormente.
Além disso, essa notícia de acesso dos hackers a dados sigilosos não poderia chegar em pior momento. Estamos há dois dias do Natal, seguido da virada de ano. Isso significa que muitas pessoas estão de férias e até departamentos inteiros de empresas que possam utilizar os serviços do LastPass estão de recesso, dificultando a checagem das senhas.
Sou apaixonado pela tecnologia e acompanho de perto as grandes transformações dos computadores, smartphones e demais aparelhos inteligentes. Por isso, estou sempre atrás das novidades na área, especialmente sobre produtos. Aqui no TeorTech, uni essa paixão com meu gosto por escrever, também alimentado pelos quase 15 anos de experiência em criação de sites, para ajudar os visitantes na descoberta tecnológica.
Contato pessoal: