Publicidade

Criminosos tiveram acesso a sistemas do LastPass por 4 dias

Por| Editado por Claudio Yuge | 19 de Setembro de 2022 às 17h20

Link copiado!

Divulgação/LastPass
Divulgação/LastPass

Os cibercriminosos responsáveis pelo ataque aos sistemas do LastPass, revelado no final de agosto, permaneceram nos sistemas da empresa por quatro dias. O comprometimento ao app de gerenciamento de senhas ocorreu a partir de um ambiente de desenvolvimento, resultando no vazamento de códigos-fonte e detalhes internos da aplicação.

A notícia aparece em uma atualização da companhia sobre o caso, resultado de uma investigação que foi concluída na última semana. No informe, o LastPass voltou a reforçar que não existem indícios de que a invasão levou ao vazamento de dados dos usuários ou senhas salvas em qualquer uma das versões da aplicação.

Segundo o relatório final sobre o ataque, o comprometimento de um endpoint usado por um desenvolvedor acabou dando acesso aos sistemas internos da companhia. Não houve conclusão quanto ao vetor usado, mas as investigações apontam para a possibilidade de um golpe de engenharia social, uma vez que os criminosos foram capazes de permanecer utilizando uma conta autenticada por verificação em duas etapas.

Continua após a publicidade

LasPass diz que criminosos não tiveram acesso a outras plataformas internas

Ainda assim, o LastPass afirma que seus sistemas de segurança foram capazes de impedir o acesso a outras plataformas, principalmente aquelas relacionadas aos dados e senhas dos usuários. O ambiente de desenvolvimento invadido não tem conectividade com os sistemas da aplicação em si, enquanto a empresa também não armazena as chaves-mestras de seus utilizadores, meio necessário para acessar os cofres de credenciais do serviço.

Além disso, segundo o aplicativo, não existem sinais de comprometimento em atualizações e versões de aplicativos disponíveis ao público, novamente, devido à separação entre os ambientes de desenvolvimento e produção. Enquanto o código-fonte do LastPass efetivamente foi comprometido e uma análise por cibercriminosos pode levar a ataques contra o serviço, a empresa também afirmou que realiza revisões constantes para garantir a segurança e que, durante a investigação, também ampliou a proteção das versões existentes.

A confirmação de que não houve comprometimento de senhas e informações dos usuários dá mais tranquilidade aos que estavam preocupados sobre a intrusão. Ainda assim, o uso de verificação em duas etapas e boas práticas de higiene cibernética, como o uso de senhas únicas e diferentes entre os serviços, ajuda a manter a segurança mesmo em caso de ataques desse tipo.

Continua após a publicidade

Além disso, a recomendação é de atenção quanto a golpes que possam envolver o LastPass ou outros serviços de gerenciamento de senha. Mesmo sem acesso às informações dos utilizadores, ataques de phishing podem ser disseminados em massa, com os usuários não devendo clicar em links ou baixar apps e atualizações que venham por tais meios.

Fonte: LastPass