Especialistas acusam LastPass de minimizar vazamento de senhas de usuários

Analistas em segurança digital estão acusando o gerenciador de senhas LastPass de minimizar a gravidade dos recentes vazamentos de informações, que vêm acontecendo desde agosto. Na visão de diferentes especialistas, a empresa responsável pelo app oculta informações ou não conta a história completa dos comprometimentos, de forma a ocultar responsabilidades e evitar uma fuga de usuários para outras soluções semelhantes.

• 8 dicas para manter a segurança de suas senhas
• Cibersegurança: adivinhe qual foi a senha mais utilizada no Brasil em 2022

Wladimir Palant, especialista em cibersegurança e desenvolvedor original do AdBlock Pro, por exemplo, critica a falta de associação, da parte do LastPass, entre o vazamento de parte de seu código fonte, em agosto, com o recente comprometimento de senhas criptografadas dos usuários. Na visão dele, os dois casos não somente têm relação como demonstram que a companhia foi incapaz de conter a intrusão, levando a uma brecha ainda maior em seus sistemas.

Já o pesquisador Jeremi Gosney, que faz parte do time de segurança digital do Yahoo, apontou que o LastPass não deu a importância devida ao comprometimento das senhas. Elas estão criptografadas, sim, e não podem ser obtidas sem a chave-mestra que somente o usuário — e nem mesmo a companhia — possui. Segundo ele, entretanto, faltou explicar que essa credencial precisa ser protegida, seguir melhores práticas e não ser compartilhada em outros serviços.

A sensação de falsa segurança, aponta, é dada pelo pronunciamento, que não explica sobre um possível uso de golpes de força-bruta contra chaves-mestra simples ou a possibilidade de uso de combinações comuns. Além disso, exposições em outros serviços também podem levar a uma abertura do “cofre” do LastPass, caso a credencial seja compartilhada; Gosney indica, ainda, que apenas partes dos arquivos dos utilizadores estão criptografados, facilitando trabalhos de engenharia social e cruzamento de volumes vazados.

Assim, aponta, se cria um ambiente em que o usuário pode ser culpado de incidentes de segurança, enquanto o LastPass deveria saber que uma série de credenciais de seus usuários serão, sim, desbloqueadas. Faltou explicação, indicou Gosney, e também medidas prévias que evitassem comprometimentos, repetições e o uso de práticas inseguras em relação às credenciais.

Jeffrey Goldberg, arquiteto líder do rival 1Password, engrossou o coro, apontando erro na alegação da concorrente de que levaria “um milhão de anos” para que um ataque de força-bruta descobrisse uma chave-mestra. Segundo o especialista, isso vale para sequências de 12 caracteres geradas aleatoriamente, um critério ainda pouco seguido por seres humanos, que preferem senhas reconhecíveis e fáceis de serem lembradas e digitadas.

Palant também vai além, indicando detalhes técnicos relacionados aos protocolos de criptografia, principalmente em relação a contas mais antigas, que poderiam facilitar ou, pelo menos, encurtar o processo de força-bruta para descoberta das senhas. Ele aponta ainda que a exposição de endereços IP dos utilizadores também pode ter implicações graves caso o LastPass colete tais informações a cada acesso, permitindo a composição de um perfil de movimentação, facilitando a descoberta de informações e, quem sabe, minimizando o número de tentativas.

Vazamento expôs URLs e outros detalhes do LastPass

O comprometimento revelado na última semana pelo LastPass não envolveu apenas senhas, mas também e-mails, números de telefone e URLs dos sites cujas senhas estão armazenadas no gerenciador. Tais dados, segundo apontou a empresa, não estavam protegidos e foram obtidos pelos indivíduos responsáveis pela invasão em texto simples — eles deveriam ser criptografados também, conforme apontam os especialistas.

Sendo assim, ao contrário do que foi apontado pelo aplicativo, a recomendação é que os usuários tomem medidas, principalmente, para garantir mais segurança à chave-mestra. O ideal é substituir a senha por uma combinação realmente aleatória, com 12 ou mais caracteres, e que não tenha sido usada em nenhum outro serviço online.

Aos indivíduos mais visados, como personalidades, empresários ou celebridades, os cuidados devem ir além, envolvendo também a troca de todas as senhas armazenadas no LastPass e a revisão de configurações de segurança relacionadas às interações do algoritmo de criptografia. Além disso, vale a pena ficar de olho em alertas emitidos pelo próprio aplicativo, que disse ter implementado ferramentas adicionais de detecção de identidade para flagrar intrusões às contas dos usuários.

Fonte: The Verge