O LastPass foi hackeado pela segunda vez em três meses. É usado por mais de 30 milhões de pessoas em todo o mundo. O gerenciador de senhas LastPass reconheceu que hackers roubaram cópias criptografadas de senhas de usuários e outros dados confidenciais, incluindo endereços de cobrança, números de telefone e endereços IP dos usuários. A princípio, o sistema foi hackeado em agosto, final de novembro - no início de dezembro, surgiram informações sobre quais dados foram roubados, e agora o blog da empresa publicou os detalhes.
O gerenciador de senhas LastPass foi hackeado, o que provou ser um grande sucesso para os próprios hackers, eles conseguiram acessar os dados do usuário, mas ainda não se sabe exatamente o quê. É provável que agora tenham acesso às senhas que os usuários do serviço armazenam em seus perfis.
As informações sobre o hack do LastPass e o comprometimento dos dados do usuário também foram confirmadas pelos representantes do próprio serviço. No entanto, eles escondem cuidadosamente a extensão do vazamento e a natureza das informações que acabaram nas mãos dos invasores; portanto, por enquanto, todos os usuários do LastPass, sem exceção, que são milhões de pessoas em todo o mundo, estão em risco. De acordo com o portal EarthWeb, em outubro de 2022, a base de usuários do LastPass era de 33 milhões de pessoas.
Até o momento da divulgação do material, os representantes do LastPass não confirmaram, mas não negaram o vazamento das senhas dos usuários localizadas em seu armazenamento pessoal online. No entanto, existe o risco de tal resultado de um ataque de hacker. Além disso, levando em consideração o fato de o LastPass ter permitido o vazamento de senhas mais de uma vez em seus 14 anos de existência, o risco nesse caso é alto.
O que devo fazer?
A primeira coisa que os usuários precisam fazer é ver quais senhas estão armazenadas na nuvem e alterá-las o mais rápido possível antes que os invasores as acessem especificamente. Muitas pessoas, por exemplo, salvam senhas de um banco na Internet ou e-mail corporativo nesses gerenciadores.
A segunda etapa é encontrar, se não um substituto para o LastPass, pelo menos um gerenciador de senhas de backup entre aqueles que funcionam offline. Esses programas armazenam o banco de dados de senhas diretamente no dispositivo do usuário (geralmente de forma criptografada), o que reduz significativamente o risco de vazamento de seu conteúdo.
Os gerenciadores de senhas permitem que os usuários armazenem seus nomes de usuário e senhas em diferentes sites em um só lugar - acessados com uma senha mestra criada pelo usuário. Last Pass não armazena ou descarta a senha mestra. Outros dados criptografados só podem ser recuperados usando uma "chave de criptografia exclusiva obtida da senha mestra do usuário". No entanto, a empresa alertou os clientes de que eles poderiam se tornar vítimas de engenharia social, phishing e outros métodos de obtenção de informações. Além disso, os hackers podem usar um ataque de força bruta para obter a senha mestra e descriptografar outros dados localizados no armazenamento criptografado. No entanto, o LastPass afirma que os invasores levarão "milhões de anos" para adivinhar uma senha usando técnicas de hacking disponíveis publicamente.
A empresa disse que a Mandiant, uma empresa que fornece segurança cibernética, está investigando o incidente e que o próprio LastPass está reconstruindo completamente todo o ambiente de trabalho - isso indica indiretamente que os hackers obtiveram partes significativas de código e outros dados.
O LastPass também disse que a investigação está em andamento e a empresa notificou as autoridades policiais e os reguladores relevantes sobre o incidente. Ela mesma recomenda que os usuários criem uma senha mestra com no máximo 12 caracteres, alterem as configurações do padrão de geração de chaves Password-Based Key Derivation Function (PBKDF2) e, claro, não usem a senha mestra em outros sites. Recomendações atuais mais detalhadas são dadas no blog de serviço.
Você pode ajudar a Ucrânia a lutar contra os invasores russos. A melhor maneira de fazer isso é doar fundos para as Forças Armadas da Ucrânia através Salva vida ou através da página oficial NBU.