LastPass admite que hackers roubaram dados de usuários e senhas criptografadas, mas a invasão levará ‘milhões de anos’
Representantes do gerenciador de senhas LastPass admitiram que hackers roubaram cópias criptografadas de senhas de usuários e outros dados confidenciais, incluindo endereços de cobrança, números de telefone e endereços IP dos usuários. Inicialmente, o sistema foi hackeado em agosto do ano anterior, no final de novembro – início de dezembro, surgiram informações sobre quais dados foram roubados e agora informações mais detalhadas foram publicadas no blog da empresa.
Fonte da imagem: LastPass
Em agosto, a empresa disse que não havia vestígios de hackers obtendo acesso aos dados do usuário ou armazenamento de senha criptografada. No entanto, já se sabe que a parte roubada do código-fonte e das informações técnicas foi usada para outras atividades ilegais no final do outono, com o que os hackers conseguiram obter credenciais e chaves para acessar e descriptografar os dados armazenados na irmã da empresa serviço na nuvem.
Os hackers conseguiram copiar informações básicas da conta, incluindo endereços de e-mail e endereços IP dos quais os usuários acessaram o LastPass, bem como “Áreas confidenciais totalmente criptografadas, como nomes de usuário e senhas em sites, notas seguras e dados de formulários”.
Os gerenciadores de senhas permitem que os usuários armazenem seus nomes de usuário e senhas para diferentes sites em um só lugar – eles podem ser acessados por meio de uma senha mestra criada pelo próprio usuário. Last Pass não armazena ou gerencia a senha mestra. Outros dados criptografados só podem ser obtidos usando “uma chave de criptografia exclusiva derivada da senha mestra do usuário.” No entanto, a empresa alertou os clientes de que poderiam ser vítimas de engenharia social, phishing e outros métodos de obtenção de informações. Além disso, os hackers podem usar um ataque de força bruta para obter a senha mestra e descriptografar outros dados no cofre criptografado. No entanto, o LastPass diz que levará “milhões de anos” para os invasores adivinharem uma senha usando tecnologias de cracking disponíveis publicamente.
A empresa disse que a empresa de segurança cibernética Mandiant está investigando o incidente e o próprio LastPass está reconstruindo completamente todo o ambiente de trabalho – indiretamente, isso indica que os hackers obtiveram fragmentos de código significativos e outros dados.
O LastPass disse que a investigação está em andamento e que a empresa notificou as autoridades legais e os reguladores relevantes sobre o incidente. Os usuários são aconselhados a tornar a senha mestra não inferior a 12 caracteres, alterar as configurações do padrão de geração de chave Função de Derivação de Chave Baseada em Senha (PBKDF2) e, é claro, não usar a senha mestra em outros sites. Recomendações atuais mais detalhadas são dadas no blog do serviço.
Se você notar um erro, selecione-o com o mouse e pressione CTRL + ENTER.