LastPass admite que hackers roubaram dados de usuários e senhas criptografadas, mas a invasão levará ‘milhões de anos’

Representantes do gerenciador de senhas LastPass admitiram que os hackers roubaram cópias criptografadas das senhas dos usuários e outros dados confidenciais, incluindo endereços de cobrança, números de telefone e endereços IP dos usuários. Inicialmente, o sistema foi hackeado em agosto do ano anterior, no final de novembro – início de dezembro, surgiram informações sobre quais dados foram roubados e agora informações mais detalhadas foram publicadas no blog da empresa.

Fonte da imagem: LastPass

Em agosto, a empresa disse que não havia vestígios de hackers obtendo acesso aos dados do usuário ou armazenamento de senha criptografada. No entanto, já se sabe que a parte roubada do código-fonte e das informações técnicas foi usada para outras ações ilegais no final do outono, com as quais os hackers conseguiram obter credenciais e chaves para acessar e descriptografar os dados armazenados na empresa serviço de nuvem irmã.

Os hackers conseguiram copiar informações básicas da conta, incluindo os endereços de e-mail e endereços IP dos quais os usuários acessaram o LastPass, bem como “áreas confidenciais totalmente criptografadas, como nomes de usuário e senhas de sites, notas seguras e dados de formulários preenchidos”.

Os gerenciadores de senhas permitem que os usuários armazenem seus nomes de usuário e senhas para diferentes sites em um só lugar – eles podem ser acessados ​​por meio de uma senha mestra criada pelo próprio usuário. Last Pass não armazena ou gerencia a senha mestra. Outros dados criptografados só podem ser acessados ​​usando uma “chave de criptografia exclusiva derivada da senha mestra do usuário”. No entanto, a empresa alertou os clientes de que poderiam ser vítimas de engenharia social, phishing e outros métodos de obtenção de informações. Além disso, os hackers podem usar um ataque de força bruta para obter a senha mestra e descriptografar outros dados no cofre criptografado. No entanto, o LastPass diz que levará “milhões de anos” para os invasores adivinharem uma senha usando tecnologias de cracking disponíveis publicamente.

A empresa disse que a empresa de segurança cibernética Mandiant está investigando o incidente e o próprio LastPass está reconstruindo completamente todo o ambiente de trabalho – indiretamente, isso indica que os hackers obtiveram fragmentos de código significativos e outros dados.

O LastPass disse que a investigação está em andamento e que a empresa notificou as autoridades e os reguladores relevantes sobre o incidente. Os usuários são aconselhados a tornar a senha mestra não inferior a 12 caracteres, alterar as configurações do padrão de geração de chave da função de derivação de chave baseada em senha (PBKDF2) e, é claro, não usar a senha mestra em outros sites. Recomendações atuais mais detalhadas são dadas no blog do serviço.