Os usuários do gerenciador de senhas LastPass recebem alertas massivos de comprometimento de contas

Muitos usuários do popular gerenciador de senhas LastPass recebem e-mails avisando que alguém tentou entrar em suas contas de locais incomuns. Os relatórios de incidentes estão se espalhando rapidamente nas redes sociais e em sites relacionados à segurança cibernética.

Fonte: geralt / pixabay.com

«Alguém acabou de usar sua senha mestra quando tentou fazer login em sua conta de um local ou dispositivo que não conhecemos. LastPass bloqueou esta tentativa, mas você deve prestar atenção a isso. Foi você? ” – leia os avisos.

Fonte: twitter.com/Valcristerra

De acordo com um porta-voz da LogMeIn Global, dona do LastPass, a equipe do gerenciador de senhas investigou relatos recentes de tentativas de login e concluiu que os incidentes estavam relacionados à atividade normal do bot, durante a qual o último tradicionalmente tenta acessar contas usando os endereços de e-mail e as senhas recebidas devido a violações cometidas por “serviços não afiliados” de terceiros. A empresa garante que não há dados sobre hacking bem-sucedido de contas, bem como informações de que o LastPass foi comprometido de alguma forma.

No entanto, muitos usuários que recebem essas notificações afirmam que suas senhas são únicas e usadas apenas pelo LastPass e, portanto, não podem ser obtidas por hackers de outras fontes. Além disso, o especialista em segurança cibernética Bob Diachenko anunciou a descoberta de milhares de pares de senha de login LastPass nos logs de malware do Redline Stealer, mas as vítimas indicam que seus dados não estão nessas listas. Em outras palavras, alguém usou outros meios para tentar hackear contas.

Alguns usuários já relataram que, após alterar suas senhas mestras após um aviso, logo receberam um alerta novamente de que alguém estava tentando fazer login em sua conta. Por fim, alguns clientes do serviço que tentaram excluir suas contas recebem uma recusa automática de realizar uma ação. Recomenda-se aos usuários do serviço que chamou a atenção de cibercriminosos pelo menos ativar a autenticação multifator para proteger suas contas – isso provavelmente permitirá que protejam seus dados mesmo que as senhas mestras tenham sido comprometidas.

Alguém tentou minha senha mestra @LastPass ontem e então alguém tentou novamente algumas horas atrás, depois que eu a alterei. O que diabos está acontecendo?

—

Em setembro de 2019, o LastPass já estava no centro de um escândalo – o serviço eliminou uma vulnerabilidade em uma extensão para o navegador Chrome que poderia permitir que invasores roubassem os últimos dados de autorização usados.