Utiliza o LastPass? Então devia estar muito preocupado
23 Dezembro, 2022LastPass, uma das mais conhecidas aplicações para fazer a gestão de passwords, que tal como todas as aplicações tem as suas falhas… no entanto, nem todas têm a sua gravidade.
No passado mês de Agosto revelamos aqui que a empresa tinha sofrido mais um ataque hacker, sim mais um, uma vez que a LastPass parece ser um alvo muito apetecível. Segundo havia sido relatado na altura, foram roubadas partes do código-fonte e algumas informações técnicas proprietárias, mas dados referentes às contas dos clientes não haviam sido afetado…. mas parece que não foi bem assim que aconteceu.
Segundo parece, os hackers tiveram mesmo acesso a uma grande quantidade de informações pessoais dos utilizadores, incluindo passwords criptografadas. Ontem, a empresa fez um novo ponto de situação sobre esse ataque, onde revelou a forma como os invasores tiveram acesso através de uma conta de desenvolvedor comprometida, obtendo acesso total às informações pessoais dos utilizadores e metadados relacionados, como nomes de empresas, nomes de utilizadores, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP que os clientes usam para acder aos serviços do LastPass.
Não parece ser grave? Calma que ainda não terminou, já que segundo a empresa, parece que os hackers conseguiram copiar um backup dos dados do cofre dos clientes, que incluía dados não criptografados, como URLs de sites e campos de dados criptografados, como nomes de utilizadores e passwords de sites, notas seguras e dados preenchidos de módulos.
Karim Toubba, CEO do LastPass tentou tranquilizar os utilizadores:
Esses campos criptografados permanecem protegidos com criptografia AES de 256 bits e só podem ser descriptografados com uma chave de criptografia exclusiva derivada da password mestra de cada utilizador utilizando a nossa arquitetura Zero Knowledge. Como lembrete, a sua password mestra nunca é conhecida pelo LastPass e não é armazenada ou gerida pelo LastPass. A criptografia e descriptografia de dados são realizadas apenas no cliente LastPass local. Para obter mais informações sobre a nossa arquitetura Zero Knowledge e algoritmos de criptografia, consulte aqui.
Considerando que a empresa não memoriza os dados do cartão de crédito na sua totalidade, e que os dados armazenados são de qualquer forma arquivados num ambiente de nuvem diferente daquele que sofreu o ataque, segundo as investigações realizadas pela empresa, não há evidência de que os dados de cartão de crédito criptografados dos utilizadores tivessem sido acedidos…. mas não esquecer que a empresa também tinha garantido que os dados dos utilizadores estavam protegidos, e alguns meses depois veio dizer que afinal não é bem assim.
A empresa também disse que os hackers podem usar os dados roubados para invadir um funcionário do LastPass para obter credenciais e chaves de segurança para aceder e descriptografar volumes de armazenamento no serviço de nuvem da empresa.
Joel Pinto
Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.
