LastPass tem um anúncio atualizado sobre uma recente violação de dados: a empresa – que promete manter todas as suas senhas em um local seguro – agora está dizendo que os hackers foram capazes de “copiar um backup dos dados do cofre do cliente”, o que significa que eles teoricamente agora têm acesso a todas essas senhas se conseguirem quebrar os cofres roubados (via TechCrunch).
Se você tem uma conta que usa para armazenar senhas e informações de login no LastPass, ou se tinha uma e não a excluiu antes deste outono, seu cofre de senha pode estar nas mãos de hackers. Ainda assim, a empresa afirma que você pode estar seguro se tiver uma senha mestra forte e suas configurações padrão mais recentes. No entanto, se você tiver uma senha mestra fraca ou menos segura, a empresa diz que “como medida extra de segurança, você deve considerar minimizar o risco alterando as senhas dos sites que você armazenou”.
Isso pode significar alterar as senhas de todos os sites que você confiou no LastPass para armazenar.
Embora o LastPass insista que as senhas ainda sejam protegidas pela senha mestra da conta, é difícil acreditar apenas em sua palavra neste ponto, dada a forma como ele lida com essas divulgações.
Quando a empresa anunciou que havia sido violada em agosto, disse que não acreditava que os dados do usuário tivessem sido acessados. Então, em novembro, o LastPass disse que detectou uma invasão, que aparentemente dependia de informações roubadas no incidente de agosto (seria bom ouvir sobre essa possibilidade em algum momento entre agosto e novembro). Essa invasão permitiu que alguém “obtivesse acesso a certos elementos” das informações do cliente. Acontece que esses “certos elementos” eram, você sabe, as coisas mais importantes e secretas que o LastPass armazena. A empresa diz que “não há evidências de que nenhum dado de cartão de crédito não criptografado tenha sido acessado”, mas isso provavelmente seria preferível ao que os hackers realmente conseguiram. Pelo menos é fácil cancelar um cartão ou dois.
Um backup dos cofres dos clientes foi copiado do armazenamento em nuvem
Veremos como tudo isso aconteceu daqui a pouco, mas aqui está o que o CEO do LastPass, Karim Toubba, está dizendo sobre os cofres sendo levados:
O agente da ameaça também conseguiu copiar um backup dos dados do cofre do cliente do contêiner de armazenamento criptografado, que é armazenado em um formato binário proprietário que contém dados não criptografados, como URLs de sites, bem como campos confidenciais totalmente criptografados, como nomes de usuário e senhas de sites, notas seguras e dados preenchidos em formulários.
Toubba diz que a única maneira de um ator mal-intencionado conseguir esses dados criptografados e, portanto, suas senhas, seria com sua senha mestra. LastPass diz que nunca teve acesso a senhas mestras.
É por isso que ele diz: “seria extremamente difícil tentar adivinhar senhas mestras à força bruta”, desde que você tivesse uma senha mestra muito boa que nunca reutilizasse (e desde que não houvesse alguma falha técnica no caminho O LastPass criptografou os dados – embora a empresa tenha cometido alguns erros de segurança bastante básicos antes). Mas quem tiver esses dados pode tentar desbloqueá-los adivinhando senhas aleatórias, também conhecidas como força bruta.
LastPass diz que usar seus padrões recomendados devemos protegê-lo desse tipo de ataque, mas não menciona nenhum tipo de recurso que impeça alguém de tentar desbloquear repetidamente um cofre por dias, meses ou anos. Também existe a possibilidade de que as senhas mestras das pessoas sejam acessíveis de outras maneiras – se alguém reutilizar sua senha mestra para outros logins, ela pode ter vazado durante outras violações de dados.
Também é importante notar que, se você tiver uma conta mais antiga (anterior a uma configuração padrão mais recente introduzida após 2018), um processo de fortalecimento de senha mais fraco pode ter sido usado para proteger sua senha mestra. De acordo com o LastPass, ele atualmente usa “uma implementação mais forte do que o típico de 100.100 iterações da função de derivação de chave baseada em senha”, mas quando um Beira membro da equipe verificou sua conta antiga usando um link que a empresa inclui em seu blog, disse a eles que sua conta estava configurada para 5.000 iterações.
Talvez a parte mais preocupante sejam os dados não criptografados – visto que inclui URLs, pode dar aos hackers uma ideia de quais sites você tem contas. Se eles decidissem segmentar usuários específicos, isso poderia ser uma informação poderosa quando combinada com phishing ou outros tipos de ataques.
Se eu fosse um cliente do LastPass, não ficaria feliz com a forma como a empresa divulgou essas informações
Embora nada disso seja uma grande notícia, é tudo algo que poderia, em teoria, acontecer com qualquer empresa que armazene segredos na nuvem. Em segurança cibernética, o nome do jogo não é ter um histórico 100% perfeito; é como você reage aos desastres quando eles acontecem.
E é aqui que o LastPass, na minha opinião, falhou absolutamente.
Lembre-se, está fazendo este anúncio hoje, 22 de dezembro – três dias antes do Natal, uma época em que muitos departamentos de TI estarão em férias e quando as pessoas provavelmente não prestarão atenção às atualizações de seu gerenciador de senhas.
(Além disso, o anúncio não chega à parte sobre os cofres sendo copiados até cinco parágrafos em. E embora algumas das informações estejam em negrito, acho que é justo esperar que um anúncio tão importante esteja no topo.)
O LastPass diz que o backup do cofre não foi comprometido inicialmente em agosto; em vez disso, sua história é que o agente da ameaça usou informações dessa violação para atingir um funcionário que tinha acesso a um serviço de armazenamento em nuvem de terceiros. Os cofres foram armazenados e copiados de um dos volumes acessados nesse armazenamento em nuvem, juntamente com backups contendo “informações básicas da conta do cliente e metadados relacionados”. Isso inclui coisas como “nomes de empresas, nomes de usuários finais, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP dos quais os clientes acessam o serviço LastPass”, de acordo com o LastPass.
Toubba diz que a empresa está tomando todos os tipos de precauções como resultado da violação inicial e da violação secundária que expôs os backups, incluindo a adição de mais registros para detectar atividades suspeitas no futuro, reconstrução de seu ambiente de desenvolvimento, rotação de credenciais e muito mais.
Isso é tudo de bom, e deve fazer essas coisas. Mas se eu fosse um usuário do LastPass, estaria pensando seriamente em sair da empresa neste momento, porque estamos vendo um dos dois cenários aqui: ou a empresa não sabia que os backups contendo os cofres dos usuários estavam em o serviço de armazenamento em nuvem quando anunciou que havia detectado atividade incomum lá em 30 de novembro, ou fez sabia e optou por não contar aos clientes sobre a possibilidade de hackers terem obtido acesso a eles. Nenhum desses é uma boa aparência.
0 comentários:
Postar um comentário