.
O gerenciador de senhas LastPass disse aos clientes que algumas de suas informações foram acessadas em uma violação de segurança cibernética, mas diz que as senhas permanecem seguras.
O LastPass é um dos vários gerenciadores de senhas do mercado que visa reduzir a reutilização de senhas online, armazenando-as em um único aplicativo. Também torna mais fácil para os usuários gerar senhas fortes, conforme necessário.
Em agosto, o LastPass determinou que parte de seu código-fonte e informações técnicas foram retiradas de acesso não autorizado a um serviço de armazenamento de terceiros que a empresa estava usando.
Após uma investigação, a empresa disse que, embora o agente da ameaça tenha conseguido acessar o ambiente de desenvolvimento da empresa, o sistema impediu o acesso aos dados do cliente ou senhas criptografadas.
Na época, o LastPass disse que o invasor havia obtido partes do código-fonte e algumas informações técnicas proprietárias do LastPass, mas acreditava que o risco para o aplicativo era limitado.
O LastPass disse que seu ambiente de produção era fisicamente separado do ambiente de desenvolvimento e não conectado diretamente. A empresa também realizou uma análise de seu código-fonte e compilações de produção para verificar se não houve tentativas de injetar código malicioso.
“Os desenvolvedores não têm a capacidade de enviar o código-fonte do ambiente de desenvolvimento para a produção”, disse a empresa na época.
“Esse recurso é limitado a uma equipe de lançamento de compilação separada e só pode acontecer após a conclusão de rigorosos processos de revisão, teste e validação de código”.
No entanto, na quarta-feira, o CEO da empresa, Karim Toubba, avisou aos clientes que “uma parte não autorizada” usando informações obtidas no ataque anterior conseguiu acessar “certos elementos das informações de nossos clientes”.
O LastPass não disse quais eram especificamente essas informações, mas disse que as senhas permaneceram criptografadas com segurança. O LastPass também não tem acesso às senhas mestras dos clientes, o que significa que apenas o usuário tem acesso para descriptografar as senhas que está armazenando.
“Estamos trabalhando diligentemente para entender o escopo do incidente e identificar quais informações específicas foram acessadas”, disse Toubba.
“Enquanto isso, podemos confirmar que os produtos e serviços LastPass permanecem totalmente funcionais.”
Toubba disse que a empresa implementaria mais medidas de segurança e monitoramento para detectar mais atividades de agentes de ameaças.
.
