LastPass confirma vazamento de senhas criptografadas dos usuários

A invasão aos sistemas do gerenciador LastPass, confirmada no final de agosto deste ano, resultou no furto de senhas criptografadas dos usuários do aplicativo. A informação aparece em uma atualização sobre o caso, publicada pela empresa nesta quinta-feira (22), que também cita a exposição de informações básicas dos utilizadores como parte do incidente de segurança. As credenciais, entretanto, estão criptografadas e não poderiam ser recuperadas pelos atacantes.

• 8 dicas para manter a segurança de suas senhas
• Cibersegurança: adivinhe qual foi a senha mais utilizada no Brasil em 2022

Ainda assim, a atualização faz escalar uma ocorrência que já vinha sendo tratada com gravidade devido ao comprometimento de parte do código-fonte da aplicação. Segundo o LastPass, além das senhas, dados como nomes, endereços de cobrança, e-mails, números de telefone e IPs usados para acesso ao serviço também teriam sido obtidos pelos criminosos responsáveis; estes, em formato aberto, sem nenhum tipo de criptografia de segurança.

No comunicado, a empresa responsável pelo gerenciador de senhas aponta que dados sensíveis permanecem seguros, como informações de cartão de crédito. Junto das senhas, os bandidos também teriam obtido URLs de sites cujas credenciais estão armazenadas no serviço, bem como anotações e dados de autopreenchimento.

Logins e senhas em si também foram comprometidos, mas estariam criptografados em um formato proprietário, baseado em encriptação 256-bit AES, que não pode ser desvendado sem a chave-mestra exclusiva de cada instalação do software.

Segundo o LastPass, a intrusão aconteceu a partir de credenciais e chaves encontradas em meio ao código-fonte e outras informações técnicas acessadas inicialmente. Depois, tais informações foram usadas para acessar um backup da empresa em um serviço de hospedagem na nuvem — não há informações, entretanto, se este é o mesmo caso registrado no início do mês, que também envolveu a obtenção de dados de utilizadores.

Usuários podem ser alvo de ataques

Enquanto o serviço garante que os dados mais sensíveis dos usuários estão protegidos, a atualização sobre o ataque também traz um alerta sobre o risco de golpes de phishing e tentativas de obtenção das senhas. De acordo com o LastPass, existe a possibilidade de uso de força-bruta para liberação das senhas e arquivos criptografados obtidos dos usuários, mas que a complexidade da encriptação torna esse trabalho hercúleo.

Por isso, a recomendação é de atenção aos usuários, principalmente se eles repetirem a chave-mestra do gerenciador em outras plataformas que, eventualmente, tenham sido comprometidas anteriormente. Neste caso, a indicação é de substituição da senha e de todas que tenham sido compartilhadas desta maneira.

Mesmo fora desse ensejo, a substituição de senhas também retoma a segurança completa aos usuários, já que, como dito, as informações obtidas por terceiros são oriundas de um backup. Uma atualização, então, torna os dados comprometidos inúteis.

O LastPass disse ainda ter notificado um pequeno número de usuários corporativos, cerca de 3% de sua base, com medidas específicas baseadas em suas configurações de contas. Aos outros, novamente, o pedido é de desculpas e a promessa de mais informações na medida em que as investigações sobre o caso cheguem a novos achados.

Fonte: LastPass