O gerenciador de senhas líder mundial, LastPass, é a vítima mais recente de uma violação de segurança. Em um comunicado, a empresa confirmou o roubo de seu código-fonte interno e documentos técnicos. O LastPass é de propriedade da GoTo e possui mais de 25 milhões de usuários e atende cerca de 80.000 empresas em todo o mundo.
Detalhes do incidente
Em 25 Em agosto de 2022, o CEO da LastPass, Karim Toubba, confirmou que uma parte não autorizada roubou algumas partes de seu código-fonte interno e informações técnicas proprietárias. A empresa revelou que um invasor invadiu uma das contas de um de seus desenvolvedores e obteve acesso a dados proprietários.
A empresa destacou que a violação ocorreu por meio de uma “única conta de desenvolvedor comprometida. Ele observou que todos os seus produtos e serviços estão “operando normalmente” e que a situação está sob controle. A violação ocorreu cerca de duas semanas atrás.
Como a violação foi detectada?
A violação foi detectado depois que uma atividade incomum foi notada na área de desenvolvimento da rede de computadores LastPass. A violação de segurança foi prontamente contida e a empresa tomou as medidas necessárias para evitar que outra intrusão acontecesse.
De acordo com a postagem do blog do LastPass, a empresa também terceirizou especialistas em segurança da informação para investigar o incidente. Uma investigação foi iniciada e mais tarde foi confirmado que o cibercriminoso não conseguiu acessar os dados do cliente. De acordo com o CEO do LastPass, a empresa aumentará suas defesas de rede.
E quanto às senhas de usuário?
Para sua informação, o LastPass fornece um cofre de software onde os nomes de usuário e senhas são armazenados em pares para permitir que os usuários façam login em sites. Isso torna mais difícil decifrar senhas.
Após a violação, surgiram muitas especulações sobre a segurança das senhas. A empresa abordou essas preocupações explicando que as senhas mestras são seguras e não foram comprometidas ou acessadas pelo hacker. O LastPass também acrescentou que o conteúdo do cofre também permaneceu intocado.
O LastPass observou que não mantém uma cópia das senhas mestras dos usuários, pois isso é para o usuário memorizar e proteger. A empresa com sede em Massachusetts insistiu que as senhas de usuário criptografadas são seguras devido à arquitetura de conhecimento zero que implementou.
“O LastPass nunca poderá saber ou obter acesso à senha mestra de nossos clientes. Este incidente não comprometeu sua senha mestra.”
Karim Toubba – LastPass
