O ano passado foi particularmente ruim para o gerenciador de senhas LastPass, já que uma série de incidentes de hackers revelou alguns pontos fracos sérios em sua segurança supostamente sólida. Agora, sabemos exatamente como esses ataques aconteceram – e os fatos são de tirar o fôlego.
Tudo começou em agosto de 2022, quando o LastPass revelou que um agente de ameaças havia roubou o código-fonte do aplicativo. Em um segundo ataque subsequente, o hacker combinou esses dados com informações encontradas em uma violação de dados separada e explorou uma falha em um aplicativo de acesso remoto usado por funcionários do LastPass. Isso lhes permitiu instalar um keylogger no computador de um engenheiro sênior da empresa.
Assim que o keylogger estiver instalado, os hackers podem obter a senha mestre do LastPass do engenheiro assim que foi inserido, concedendo-lhes acesso ao cofre do funcionário - e todos os segredos contidos dentro de.
Relacionado
- Hackers podem ter roubado a chave mestra de outro gerenciador de senhas
- NordPass adiciona suporte a senha para banir suas senhas fracas
- Os hackers se aprofundaram na enorme violação de segurança do LastPass
Eles usaram esse acesso para exportar o conteúdo do cofre. Aninhadas entre os dados estavam as chaves de descriptografia necessárias para descriptografar os backups de clientes armazenados no sistema de armazenamento em nuvem do LastPass.
Vídeos recomendados
Isso é importante porque o LastPass manteve backups de produção e backups de banco de dados críticos na nuvem. Uma grande quantidade de dados confidenciais de clientes também foi roubada, embora pareça que os hackers não conseguiram descriptografá-los. Detalhes da página de suporte do LastPass exatamente o que foi roubado.
Transparência questionável
Felizmente para os usuários do LastPass, parece que os dados mais confidenciais dos clientes – como (a maioria) endereços de e-mail e senhas – foram criptografados usando um método de conhecimento zero. Isso significa que eles foram criptografados com uma chave derivada da senha mestra de cada usuário e desconhecida do LastPass. Quando os hackers roubaram os dados do LastPass, eles não conseguiram obter essas chaves de descriptografia porque não foram armazenadas em nenhum lugar pelo LastPass.
Dito isso, muitos dados importantes foram obtidos pelos agentes da ameaça. Isso incluiu backups do banco de dados de autenticação multifator do LastPass, segredos de API, metadados de clientes, dados de configuração e muito mais. Além disso, parece que vários produtos além do LastPass também foram violados.
Com um página de suporte, LastPass disse que a maneira como o segundo ataque foi realizado - usando detalhes de login genuínos de funcionários - dificultou a detecção. No final, a empresa percebeu que algo estava errado quando seu sistema AWS GuardDuty Alerts alertou que alguém estava tentando usar suas funções Cloud Identity and Access Management para executar ações não autorizadas atividade.
O LastPass recebeu muitas críticas sobre como lidou com os ataques nos últimos meses, e é improvável que essa desaprovação diminua à luz das últimas revelações. Na verdade, uma empresa de segurança chegou a dizer que o LastPass não era um aplicativo confiável e que os usuários alternar para diferentes gerenciadores de senhas.
No momento, o LastPass aparentemente está tentando ocultar suas páginas de suporte a ataques dos mecanismos de pesquisa, adicionando “” para as páginas. Isso apenas tornará mais difícil para os usuários (e para o mundo em geral) descobrir o que aconteceu e dificilmente parece ser feito com espírito de transparência e responsabilidade. Nada foi publicado no blog da empresa também.
Se você é um cliente do LastPass, pode ser melhor encontrar um aplicativo alternativo. Felizmente, existem muitos outros excelentes gerenciadores de senhas por aí que pode proteger de forma confiável suas informações importantes.
Recomendações dos editores
- Essas senhas embaraçosas fizeram com que celebridades fossem hackeadas
- Não, o 1Password não foi hackeado – aqui está o que realmente aconteceu
- Esta enorme exploração do gerenciador de senhas pode nunca ser consertada
- Os melhores gerenciadores de senhas para 2023
- Usando o LastPass? Você precisa mudar com urgência, diz empresa de segurança
Atualize seu estilo de vidaO Digital Trends ajuda os leitores a acompanhar o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais perspicazes e prévias exclusivas.
