O que você precisa saber
- O software de gerenciamento de senhas LastPass sofreu uma violação em seus servidores em nuvem em agosto de 2022.
- Os dados do cliente, incluindo cofres de senhas, nomes, endereços IP e de cobrança e números de telefone, estão entre os dados recentemente confirmados como roubados durante o ataque.
- O LastPass explica que sua criptografia AES de 256 bits torna improvável que invasores obtenham acesso a cofres de senhas roubadas de clientes.
- As informações do cartão de crédito não foram incluídas nos dados roubados, armazenados separadamente em um local seguro.
O LastPass, o software de gerenciamento de senhas projetado para navegadores da Web em computadores desktop e dispositivos móveis, confirmou os detalhes de uma violação autorizada em seus servidores de armazenamento em nuvem e no dados criptografados de cofres digitais de clientes. Em agosto de 2022, o LastPass anunciou que não havia acessado nenhum dado do cliente, mas que um ladrão havia roubado o código-fonte da empresa e outras informações confidenciais dos funcionários.
Em um nova postagem no blog (abre em nova aba), LastPass revela mais informações sobre a violação para promover seu compromisso com a transparência. As ações de um único agente de ameaça permitiram que eles sequestrassem credenciais e visassem outros funcionários da empresa, obtendo acesso a chaves de descriptografia para os dispositivos de armazenamento na rede de armazenamento em nuvem de backup. Os dados do cliente nesses backups incluem nomes da empresa e do usuário final, cobrança e endereços de e-mail, números de telefone e endereços IP.
Os cofres digitais armazenam toda e qualquer senha salva no serviço, mas o LastPass afirma que não há nenhuma evidência de uma ameaça significativa aos dados do cliente. Todos os dados armazenados nos servidores principal e de backup usam criptografia AES de 256 bits que os usuários podem acessar apenas com uma chave exclusiva gerada por sua senha mestra. O LastPass nunca armazena essas senhas mestras em nenhum lugar, de acordo com sua arquitetura de conhecimento zero.
Sou afetado pela violação do LastPass?
O LastPass afirma que não armazena nenhum número de cartão de crédito completo e que as informações são armazenadas separadamente dos servidores de backup afetados. O hacker responsável pode tentar obter acesso aos dados sequestrados por meio de força bruta, mas o método de criptografia torna a probabilidade de sucesso extremamente improvável.
Se os clientes seguiram as práticas recomendadas para sua senha mestra, incluindo o uso de sequências alfanuméricas com maiúsculas e minúsculas variadas e caracteres especiais, isso poderia levar milhões de anos para decifrar o código. Você deve tomar medidas cuidadosas se estiver em dúvida sobre quaisquer riscos às suas informações privadas, então mudando suas senhas ainda é recomendado.
O que acontece depois?
Para eliminar o risco desse tipo de violação acontecer novamente, o LastPass completamente reconstruído seu ambiente de desenvolvimento e implementou processos rígidos e mecanismos de autenticação. Nos bastidores, a empresa está se esforçando para identificar qualquer atividade suspeita no armazenamento de backup em nuvem. Eles também estão atualizando suas proteções e confirmando exatamente quais dados a violação acessou, inclusive aconselhando os clientes comerciais sobre as ações recomendadas.
Por precaução, os policiais foram notificados e outras autoridades relevantes estão envolvidas em uma investigação em andamento. LastPass disse que mais atualizações seguirão, mas os sistemas continuarão funcionando normalmente para os clientes atuais. Se você não foi contatado diretamente pela empresa, pode contatá-los através do aplicativo oficial ou site de suporte (abre em nova aba) para resolver quaisquer preocupações.
Tomada Central do Windows
Qualquer violação de senha é motivo de preocupação, mas a resposta abrangente e a transparência do LastPass são um alívio. A criptografia de 256 bits deve significar que qualquer senha mestra razoavelmente segura manterá os cofres dos clientes protegidos contra tentativas de acesso de força bruta, mas qualquer pessoa afetada deve alterar seus logins críticos para garantir a segurança.
Se essa violação recente afetou você o suficiente para procurar a melhor alternativa do LastPass, nossos colegas do Windows Central usam passar e Bitwarden para fazer backup de suas senhas. Não importa qual serviço você escolha, sempre se esforce para usar strings longas e complexas com uma mistura de letras, números e símbolos quando aceitos pelo serviço.