Publicidade
Economize: canal oficial do CT Ofertas no WhatsApp Entrar
Home
Notícias
Segurança

Usuários do LastPass recebem alerta de senha vazada; empresa nega ataque

Por| Editado por Claudio Yuge | 28 de Dezembro de 2021 às 22h30

Link copiado!

mohamed Hassan/Pixabay
mohamed Hassan/Pixabay

Usuários do LastPass, serviço de gerenciamento de senhas, estão alertando que suas chaves-mestres, usadas para acessar todas as credenciais registradas em suas contas, foram comprometidas e modificados após o recebimento de um e-mail alertando sobre tentativas de login em lugares não informados.

A mensagem avisa que a senha-mestre foi usada para tentar entrar na conta em localizações conhecidas pelo mundo. O mesmo alerta também fala que as tentativas foram bloqueadas.

Segundo informações obtidas pelo site BleepingComputer, essas notificações aparentam ser originárias de comportamentos normais de bots, que tentam acessar as contas a partir de credenciais obtidas por vazamentos de terceiros, que podem ser comercializados na deep web ou dark web.

Continua após a publicidade

Segundo dados obtidos pelo especialista de segurança Bob Diachenko, várias credenciais do serviço foram achadas em registros do vírus Redline Stealer, dando mais credibilidade para a teoria que as informações foram roubadas e disponibilizadas em ambientes frequentados por criminosos virtuais.

A empresa, por sua vez, se defende e afirma que não houve nenhum vazamento de senhas e que as tentativas de acesso partiram do cruzamento de dados vazados de outros serviços que não têm vínculo com o LastPass. Seria uma prática conhecida como "credential stuffing", em que alguém descobre uma combinação de credenciais que vazou de um site e a testa em vários outros, contando com o fato de que muitos reutilizam suas senhas.

Dificuldade em mitigar o problema

Continua após a publicidade

Usuários do LastPass comentaram em redes sociais que, ao tentarem deletar suas contas do serviço, eles se depararam com erros que impediam a ação de ser realizada. Além disso, ao trocarem a senha, recebiam e-mails poucas horas depois informando sobre uma nova modificação de credencial.

Mesmo que os ataques não sejam resultado de vazamento, ainda é recomendado que usuários do LastPass ativem a verificação de duas etapas em suas contas.

Fonte: BleepingComputer, The Verge