.
Bloqueador de senhas LastPass alertou os clientes de que o ataque de agosto de 2022 em seus sistemas, partes desconhecidas copiam arquivos criptografados que contêm as senhas armazenadas dos clientes.
Em 22 de dezembro atualizar ao seu conselho sobre o incidente, o LastPass atualiza os clientes explicando que o ataque de agosto de 2022 viu “alguns códigos-fonte e informações técnicas foram roubados de nosso ambiente de desenvolvimento e usados para atingir outro funcionário, obtendo credenciais e chaves que foram usadas para acessar e descriptografar alguns volumes de armazenamento dentro do serviço de armazenamento baseado em nuvem.”
Essas credenciais permitiram que o invasor copiasse informações “que continham informações básicas da conta do cliente e metadados relacionados, incluindo nomes de empresas, nomes de usuários finais, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP dos quais os clientes acessavam o serviço LastPass”.
A atualização revela que o invasor também copiou os dados do “cofre do cliente” – o arquivo no qual o LastPass armazena as senhas que os usuários confiam a ele.
Esse arquivo “é armazenado em um formato binário proprietário que contém dados não criptografados, como URLs de sites, bem como campos confidenciais totalmente criptografados, como nomes de usuário e senhas de sites, notas seguras e dados preenchidos em formulários”.
O que significa que os invasores têm as senhas dos usuários. Mas, felizmente, essas senhas são criptografadas com “criptografia AES de 256 bits e só podem ser descriptografadas com uma chave de criptografia exclusiva derivada da senha mestra de cada usuário”.
O conselho do LastPass é que, embora os invasores tenham esse arquivo, os clientes que usam suas configurações padrão não têm nada para fazer como resultado dessa atualização, pois “levaria milhões de anos para adivinhar sua senha mestra usando a tecnologia de quebra de senha geralmente disponível. ” Os invasores teriam que deduzir a chave com base na senha mestra, outra façanha não trivial.
Mas uma das configurações padrão do LastPass é não reutilizar a senha mestra necessária para fazer login no serviço e que é usada para gerar a chave exclusiva. A roupa sugere que você crie uma credencial complexa e use essa senha para apenas uma coisa: acessar o LastPass.
No entanto, sabemos que os usuários geralmente estupidamente negligente na escolha de boas senhas, enquanto dois terços reutilizam senhas mesmo que eles devessem saber melhor.
Portanto, embora o LastPass esteja confiante de que os arquivos copiados de sua nuvem resistirão às tentativas de força bruta para quebrar a senha mestra, se essa credencial já estiver por aí… de senhas.
Ah, e não vamos esquecer que o cofre do cliente LastPass também pode armazenar muitas outras informações pessoais confidenciais.
O LastPass, portanto, ofereceu o seguinte conselho para usuários individuais e corporativos:
Divirta-se alterando todas essas senhas, caro leitor.
A atualização do LastPass termina com notícias de que desativou os sistemas violados em agosto de 2022 e construiu uma nova infraestrutura que adiciona proteções extras. ®
.
