LastPass sofre nova invasão com acesso a dados de usuários

O LastPass foi vítima de um novo comprometimento em seus sistemas internos, com os responsáveis pela intrusão tendo acesso a dados de usuários. Segundo o comunicado da empresa, as senhas armazenadas no aplicativos permanecem seguras, por conta de protocolos de segurança implementados por ela, enquanto o escopo do incidente segue sendo investigado.

• Melhores gerenciadores de senhas para celular
• O fim das senhas como ferramenta poderosa de aprimoramento da segurança

É o segundo caso desse tipo a atingir o gerenciador neste ano, com os incidentes, inclusive, estando diretamente conectados. De acordo com o comunicado oficial publicado nesta quarta (30), o acesso indevido aconteceu em servidores na nuvem pertencentes a uma empresa afiliada, a GoTo, a partir de informações obtidas na brecha revelada pela companhia em agosto deste ano.

Os detalhes ainda são escassos, com o LastPass afirmando estar trabalhando ao lado da parceira, que fornece soluções de conectividade, e também da empresa de cibersegurança Mandiant. As autoridades também foram envolvidas na investigação, enquanto os produtos da empresa continuam funcionando sem interrupções.

O incidente foi descoberto a partir de sistemas de monitoramento, que detectaram atividades estranhas na rede. Os responsáveis pelo ataque, também, não foram revelados, enquanto a empresa afirma ter como uma de suas prioridades, além do incremento em medidas de proteção, entender exatamente quais dados foram comprometidos e quantos usuários foram atingidos pela exposição.

No ataque revelado em agosto deste ano, os atacantes chegaram a permanecer por quatro dias dentro dos sistemas do LastPass, invadido a partir de um ambiente de desenvolvimento. O resultado foi o vazamento de detalhes internos e do código-fonte do gerenciador de senhas, sem que dados de usuários fossem acessados como parte desta ocorrência.

Na ocasião, o vetor de entrada não pode ser determinado, mas a hipótese da companhia é de um golpe de engenharia social desferido contra um de seus funcionários. Agora, a apuração segue em andamento, com o LastPass prometendo seguir atualizando os usuários sobre a questão na medida em que mais informações estiverem disponíveis.