Um morador do estado americano da Pensilvânia entrou com uma ação contra o LastPass, que recebeu o status de ação coletiva – no ano passado, os recursos do serviço foram hackeados duas vezes, embora sua administração tentasse garantir aos usuários a segurança dos dados.
Fonte da imagem: lastpass.com
De acordo com o autor, como resultado do hack do LastPass em novembro, bitcoins no valor de $ 53.000 foram roubados dele, e histórias sobre inúmeros “sequestros” de contas em vários recursos estão aparecendo cada vez mais na Internet, que também está associada ao incidente.
Os problemas começaram em agosto, quando desconhecidos roubaram dados técnicos dos servidores do LastPass. Em novembro, os invasores retornaram e, usando informações anteriormente roubadas, encerraram o assunto, obtendo acesso aos cofres de senhas dos usuários. A administração do LastPass tentou dissipar as preocupações afirmando que os dados nos cofres são criptografados e só podem ser lidos se houver senhas mestras de usuários, que não são armazenadas nos servidores do serviço.
O autor alega que a carteira de criptomoedas estava protegida por uma senha única gerada pelo LastPass, e o serviço foi usado para armazenar “chaves privadas extremamente importantes”. No entanto, a carteira de criptomoeda foi comprometida e, se as chaves foram armazenadas apenas nos recursos do LastPass, esses recursos não são tão seguros quanto a empresa afirma. Os usuários que começaram a usar o gerenciador de senhas do Google estão recebendo cada vez mais notificações de que suas credenciais LastPass foram comprometidas e as tentativas suspeitas de phishing aumentaram.
A ação diz que a administração do serviço caracteriza seus métodos de segurança como “mais fortes que o normal”, mas isso não é verdade. Em particular, o serviço começou a exigir que as senhas mestras tivessem mais de 12 caracteres apenas em 2018; e o hash de senha é feito em 100.100 iterações do algoritmo PBKDF2, embora o padrão da indústria exija 310.000 iterações. Outra confirmação do fato da negligência, o autor considera a notificação “excessivamente longa” dos usuários sobre o incidente.