.
Os invasores invadiram um serviço de armazenamento em nuvem terceirizado que o LastPass compartilha com a empresa afiliada GoTo e obtiveram acesso a “certos elementos” das informações dos clientes, confirmaram os dois.
LastPass não definir o que significava “certos elementos”, dizendo que não tinha certeza de quais dados foram analisados: “Estamos trabalhando diligentemente para entender o escopo do incidente e identificar quais informações específicas foram acessadas esta manhã.”
A declaração da noite passada também confirmou que os invasores obtiveram as informações para realizar a invasão atual usando informações roubadas em um ataque de agosto, que cobrimos aqui.
Ele manteve, no entanto, que os serviços não foram afetados e que as senhas dos clientes permaneceram “criptografadas com segurança” – sem descartar que alguns dos dados foram roubados. A empresa é conhecida por usar um hash salgado unidirecional para senhas mestras, com uma descrição mais completa neste técnico papel branco. As senhas mestras são usadas para bloquear os cofres de senhas dos usuários, onde seus logins para vários sites etc. podem ser armazenados, com a senha sempre inserida pelo usuário em seu navegador ou aplicativo e não enviada ou armazenada pelo LastPass.
Os usuários que perdem suas senhas mestras podem perder o acesso a seus cofres, embora haja alguns opções de recuperação.
A empresa disse contratou pesquisadores de infosec da Mandiant para investigar a invasão e chamou a polícia.
A empresa de acesso remoto e colaboração GoTo, por sua vez, que Registro os leitores disseram que começaram a enviar e-mails para eles ontem, dizem que o incidente não afetou seus produtos e serviços e que eles permanecem totalmente funcionais.
A invasão de agosto
O código-fonte e as plantas do LastPass foram roubados por um um intruso vários meses atrás. Naquela época, os criminosos tinham acesso aos sistemas internos do LastPass por quatro dias, obtendo acesso a partes do ambiente de desenvolvimento do LastPass por meio de uma única conta de desenvolvedor comprometida e obtendo seções do código-fonte, bem como algumas informações técnicas proprietárias do LastPass.
A empresa apontou na época que sua equipe de desenvolvimento não tinha a capacidade de enviar o código-fonte do ambiente de desenvolvimento para a produção. Durante esse período, o Lastpass disse que conteve o incidente e enfatizou que o intruso não obteve acesso aos dados do cliente ou aos cofres de senhas criptografadas.
O aviso de violação da noite passada acrescentou conselhos para que os clientes sigam as melhores práticas, incluindo nunca reutilizar suas senhas mestras. Acrescentamos que você também deve evitar armazená-los no navegador. Vamos lá, usando um gerenciador de senhas para cuidar de suas chaves para um gerenciador de senhas? São tartarugas por todo o caminho. A maioria dos navegadores maiores possui gerenciadores de senhas e preenchimentos de formulários embutidos; eles também sincronizam em todos os seus dispositivos e nem todos são bons em fazer logout.
GoTo é a LogMeIn renomeada, que foi adquirida pelo braço de private equity do fundo de hedge de Paul Singer e Francesco Partners em 2019. Eles deram aos acionistas da LogMeIn US$ 4,3 bilhões em dinheiro para torná-la privada. O LastPass já havia sido adquirido pela LogMeIn por $ 110 milhões em outubro de 2015. Os proprietários então desmembrado LastPass como uma empresa independente no final do ano passado.
O gerenciador de senhas sempre teve um modelo freemium, mas após a aquisição em 2019 mudou para um modelo que pressionava mais os apostadores a mudar para o serviço pago e foi criticado por, entre outras coisaslimitando o número de vezes que os usuários gratuitos podem passar do acesso de dispositivo móvel para o acesso de desktop.
A unidade também possui seu aplicativo autenticador de marca própria, bem como um serviço de monitoramento da dark web que verifica os endereços de e-mail (até 100) que os usuários colocaram em seu cofre em relação a um banco de dados de credenciais violadas encontradas no interior não indexado. O banco de dados é mantido por Enzoic (anteriormente conhecido como PasswordPing).
Rivais no jogo gerenciador de senhas incluem 1Password, Bitwarden, Dashlane, Keeper, LogMeOnce e NordPass.
Raf Los, chefe de Serviços GTM na empresa de infosec ExtraHop, comentou: “Estarei ansioso para ler os detalhes de como o(s) invasor(es) invadiu(s) e levar essas lições aos clientes e colegas para fortalecer seus ambientes para que eles sejam não comprometidos da mesma forma. Mas a mensagem aqui é vigilância… Entenda seu ambiente, implemente controles que equilibrem usabilidade e segurança, monitore ameaças e ataques e esteja pronto para responder quando as coisas derem errado às 2h de uma sexta-feira.” ®
.
