Usuários do LastPass recebem alerta de senha vazada; empresa nega ataque
Por Dácio Castelo Branco | Editado por Claudio Yuge | 28 de Dezembro de 2021 às 22h30
Usuários do LastPass, serviço de gerenciamento de senhas, estão alertando que suas chaves-mestres, usadas para acessar todas as credenciais registradas em suas contas, foram comprometidas e modificados após o recebimento de um e-mail alertando sobre tentativas de login em lugares não informados.
A mensagem avisa que a senha-mestre foi usada para tentar entrar na conta em localizações conhecidas pelo mundo. O mesmo alerta também fala que as tentativas foram bloqueadas.
Segundo informações obtidas pelo site BleepingComputer, essas notificações aparentam ser originárias de comportamentos normais de bots, que tentam acessar as contas a partir de credenciais obtidas por vazamentos de terceiros, que podem ser comercializados na deep web ou dark web.
Segundo dados obtidos pelo especialista de segurança Bob Diachenko, várias credenciais do serviço foram achadas em registros do vírus Redline Stealer, dando mais credibilidade para a teoria que as informações foram roubadas e disponibilizadas em ambientes frequentados por criminosos virtuais.
A empresa, por sua vez, se defende e afirma que não houve nenhum vazamento de senhas e que as tentativas de acesso partiram do cruzamento de dados vazados de outros serviços que não têm vínculo com o LastPass. Seria uma prática conhecida como "credential stuffing", em que alguém descobre uma combinação de credenciais que vazou de um site e a testa em vários outros, contando com o fato de que muitos reutilizam suas senhas.
Dificuldade em mitigar o problema
Usuários do LastPass comentaram em redes sociais que, ao tentarem deletar suas contas do serviço, eles se depararam com erros que impediam a ação de ser realizada. Além disso, ao trocarem a senha, recebiam e-mails poucas horas depois informando sobre uma nova modificação de credencial.
Mesmo que os ataques não sejam resultado de vazamento, ainda é recomendado que usuários do LastPass ativem a verificação de duas etapas em suas contas.
Fonte: BleepingComputer, The Verge