Alguns meses atrás, o serviço de criptografia de senhas LastPass reconheceu que sofreu um ataque hacker mas que, na ocasião, não havia afetado nenhum dado de seus clientes, já que sua tecnologia de ponta a ponta deixa que o assinante apenas tenha a chave de descriptografia.
Bem, agora a LogMeIn, empresa proprietária da LastPass, veio corrigir a história. Embora o ataque inicial não tenha permitido acesso aos dados dos clientes, as informações obtidas por meio da invasão acabaram, no fim das contas, sendo usadas para surrupiar informações dos usuários.
Em um post, a empresa disse ter detectado atividades incomuns em um serviço de armazenamento em nuvem terceirizado, atualmente compartilhado pelo LastPass e sua afiliada, GoTo.
"Imediatamente iniciamos uma investigação, contratamos a Mandiant, uma importante empresa de segurança, e alertamos as autoridades", diz o texto. "Soubemos que um parte não autorizada, usando as informações obtidas no incidente de agosto de 2022, conseguiu obter acesso a determinados elementos das informações de nossos clientes. As senhas de nossos clientes permanecem criptografadas com segurança devido à arquitetura Zero Knowledge do LastPass."
O CEO da empresa, Karim Toubba, diz que ainda está trabalhando para determinar o escopo do ataque e identificar quais dados especificamente foram acessados.
Por ora, a empresa seguiu indicando aos usuários suas recomendações de segurança para usar o LastPass — a mais importante é de naturalmente ter uma senha mestra forte, com 12 caracteres ou mais, misturando letras maiúsculas, minúsculas, números e caracteres especiais, como já é bem sabido.
Quem usa um gerenciador de senhas está confiando em uma organização, basicamente, as chaves de acesso a muitas informações importantes de sua vida — daí ser uma escolha bastante difícil. Além de pensar nos recursos oferecidos pelas plataformas, sejam gratuitas ou pagas, é necessário ainda ver o histórico de segurança e privacidade delas. Agora, uma notícia confirmada pela LastPass vem afetar mais um pouco a reputação do serviço.
Isso porque a LastPass, um dos gerenciadores de senha mais populares do mercado, foi vítima de uma violação de segurança há algumas semanas. A informação foi detalhada em uma postagem no blog da empresa pelo seu CEO, Karim Toubba. Ele conta que um hacker conseguiu acessar a área de desenvolvimento da plataforma por meio da conta de um desenvolvedor, que tinha uma falha de segurança, e roubou trechos do código-fonte do serviço e informações técnicas proprietárias.
No entanto, Toubba garante aos usuários que apesar do ocorrido, nenhum dado dos usuários ou senhas criptografadas tenham sido roubadas — pelo menos, por enquanto. Afinal, a invasão teria sido apenas nos "bastidores" de desenvolvimento da LastPass, não em seu banco de dados.
“Em resposta ao incidente", escreve o CEO, "implantamos medidas de contenção e mitigação e contratamos uma empresa líder em segurança cibernética e forense. Enquanto nossa investigação está em andamento, alcançamos um estado de contenção, implementamos medidas de segurança aprimoradas adicionais e não vemos mais evidências de atividade não autorizada”.
Neste momento, os usuários não precisam, e nem poderiam, fazer nada a respeito. Os mais precavidos, porém, devem considerar configurar a autenticação de dois fatores para sua conta do LastPass, caso ainda não tenha feito isso.
E você, usa a LastPass? Qual sua experiência com a plataforma?