LastPass emitiu uma longa declaração sobre a violação sofrida há alguns meses. Simplificando, as coisas não estão boas.
Algumas semanas atrás, o LastPass divulgou um comunicado em seu blog, compartilhando que havia sofreu uma violação. Na época, Karim Toubba, CEO do LastPass, não entrou em todos os detalhes, apenas compartilhou que ocorreu um incidente de segurança com um serviço de armazenamento em nuvem de terceiros que o LastPass utiliza. Agora, a empresa está dando um detalhamento do que aconteceu, e isso não é bom.
Toubba mais uma vez acessou o blog da empresa para compartilhar o que descobriu em relação ao incidente. Segundo a postagem, neste ataque os dados dos clientes não foram afetados, mas “código-fonte e informações técnicas” foram roubados. Infelizmente, com essas informações, o invasor atacou um funcionário, obteve credenciais e chaves que foram usadas para descriptografar e acessar informações no serviço de armazenamento baseado em nuvem.
A partir daqui, o invasor conseguiu acessar informações da conta, como "nomes de usuários finais, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP dos quais os clientes estavam acessando o serviço LastPass." Além disso, foram obtidos dados do cofre do cliente, que continham "nomes de usuário e senhas de sites criptografados, notas seguras e dados preenchidos no formulário."
Então você deve estar se perguntando: o que tudo isso significa exatamente?
Bem, há boas e más notícias. Quanto à boa notícia, os dados coletados foram criptografados e exigem a senha mestra do usuário para serem descriptografados. A má notícia é que, se o invasor tiver tempo, ele poderá tentar quantas senhas forem necessárias para descriptografar os dados. O LastPass reconhece que esta é uma possibilidade, mas afirma que seria “extremamente difícil”, desde que a senha em si seja uma complicado.
O LastPass também alerta que os ataques de phishing podem começar a se tornar mais comuns, na tentativa de pegar os clientes desprevenidos e extrair senhas mestras. No que diz respeito ao que pode ser feito agora, trata-se apenas de ficar atento e não ser vítima de tentativas de phishing. Se parecer fora do comum ou suspeito, pesquise. O LastPass exige senhas de no mínimo 12 caracteres há algum tempo. Mas violações como essa podem acontecer e, quando acontecem, realmente colocam as coisas em perspectiva.
A empresa tenta dar alguma garantia, afirmando que levaria milhões de anos para tentar adivinhar uma senha complexa. Claro, isso realmente não deveria tranquilizá-lo, já que há alguém por aí com seus dados criptografados. O LastPass fez alterações em sua infraestrutura para evitar violações no futuro e entrou em contato com clientes empresariais de alto risco com instruções.
Fonte: Última passagem