[ad_1]
O LastPass costumava ser um dos melhores gerenciadores de senhas, mas, mais recentemente, sua reputação foi atingida por várias violações de segurança. Agora a empresa confirmou que o último foi De verdade mal.
O LastPass sofreu uma violação de segurança em agosto, quando um hacker obteve acesso a ambientes de desenvolvimento e conseguiu roubar o código-fonte e outras informações proprietárias. Mais tarde, em dezembro, o LastPass confirmou que um hacker foi capaz de usar esses dados para “obter acesso a certos elementos das informações de nossos clientes”. A empresa não esclareceu o significado de “certos itens”, até agora.
O LastPass acaba de revelar o escopo completo do ataque, após uma “investigação em andamento”. O hacker conseguiu acessar um ambiente de armazenamento em nuvem usando dados da violação de agosto, que incluíam “informações básicas da conta do cliente e metadados relacionados, incluindo nomes de empresas, nomes de usuários finais, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP”. de onde os clientes acessaram o serviço LastPass. Aparentemente, as informações do cartão de crédito não foram acessadas.
A pior parte é que o hacker copiou com sucesso os dados do cofre do LastPass, embora a empresa o tenha chamado de “backup”, então não está claro a idade dos dados. A empresa afirma que as senhas reais ainda são seguras, porque usam criptografia AES de 256 bits com base na senha mestra de uma pessoa. No entanto, se você conseguir a senha mestra de alguém (por exemplo, com um e-mail de phishing que imita uma página de login do LastPass), poderá desbloquear os dados criptografados e ver todas as senhas de alguém.
Mesmo sem a senha mestra, os dados vazados podem ser prejudiciais para alguns usuários do LastPass. Nomes e endereços de cobrança podem ser usados em outros ataques, e endereços de sites para senhas armazenadas não foram criptografados. Alguém com os dados vazados pode ver todos os sites associados a senhas e usá-los para phishing mais direcionado. Por exemplo, se alguém tiver uma senha para o site do Bank of America, essa pessoa pode ter uma conta lá e seria um excelente alvo para e-mails de phishing que se parecem com alertas de contas bancárias.
Este é o pior incidente de segurança imaginável para um gerenciador de senhas como o LastPass: quase todos os dados em posse da empresa foram copiados. A criptografia do lado do cliente impediu que todas as senhas fossem roubadas, mas, como mencionado acima, basta uma senha mestra fraca ou um ataque de phishing para desbloquear os dados de uma conta. Isso, junto com um histórico ruim de resposta a problemas de segurança e muitas outras violações recentes, é uma boa justificativa para parar de usar o LastPass.
Se você usa o LastPass, deve alterar sua senha mestra o mais rápido possível e ficar atento a e-mails com aparência incompleta nas próximas semanas e meses. Você também pode considerar alterar todas as senhas armazenadas no LastPass – os hackers agora (provavelmente) também têm esses dados, eles simplesmente não podem desbloqueá-los agora.
Fonte: LastPass
[ad_2]
