[ad_1]
você já ouviu isso repetidas vezes: você precisa usar um gerenciador de senhas para gerar senhas fortes e exclusivas e acompanhá-las para você. E se você finalmente mergulhou com uma opção gratuita e popular, principalmente durante a década de 2010, provavelmente foi o LastPass. Para os 25,6 milhões de usuários do serviço de segurança, porém, a empresa fez um anúncio preocupante em 22 de dezembro: um incidente de segurança que a empresa havia relatado anteriormente (em 30 de novembro) foi na verdade uma violação massiva e preocupante de dados que expôs cofres de senhas criptografadas – as joias da coroa de qualquer gerenciador de senhas – junto com outros dados do usuário.
Os detalhes que o LastPass forneceu sobre a situação há uma semana foram preocupantes o suficiente para que os profissionais de segurança rapidamente começassem a pedir aos usuários que mudassem para outros serviços. Agora, quase uma semana desde a divulgação, a empresa não forneceu informações adicionais aos clientes confusos e preocupados. O LastPass não retornou os vários pedidos da WIRED para comentar sobre quantos cofres de senha foram comprometidos na violação e quantos usuários foram afetados.
A empresa nem esclareceu quando ocorreu a violação. Parece ter sido em algum momento depois de agosto de 2022, mas o momento é significativo, porque uma grande questão é quanto tempo os invasores levarão para começar a “quebrar” ou adivinhar as chaves usadas para criptografar os cofres de senhas roubadas. Se os invasores tiveram três ou quatro meses com os dados roubados, a situação é ainda mais urgente para os usuários afetados do LastPass do que se os hackers tivessem apenas algumas semanas. A empresa também não respondeu às perguntas da WIRED sobre o que chama de “um formato binário proprietário” usado para armazenar dados de cofre criptografados e não criptografados. Ao caracterizar a escala da situação, a empresa disse em seu anúncio que os hackers foram “capazes de copiar um backup dos dados do cofre do cliente do contêiner de armazenamento criptografado”.
“Na minha opinião, eles estão fazendo um trabalho de classe mundial detectando incidentes e um trabalho muito, muito ruim prevenindo problemas e respondendo com transparência”, diz Evan Johnson, um engenheiro de segurança que trabalhou no LastPass há mais de sete anos. “Eu estaria procurando por novas opções ou procurando ver um foco renovado na construção da confiança nos próximos meses de sua nova equipe de gerenciamento.”
A violação também inclui outros dados do cliente, incluindo nomes, endereços de e-mail, números de telefone e algumas informações de cobrança. E o LastPass há muito é criticado por armazenar seus dados de cofre em um formato híbrido, no qual itens como senhas são criptografados, mas outras informações, como URLs, não. Nessa situação, as URLs de texto simples em um cofre podem dar aos invasores uma ideia do que está dentro e ajudá-los a priorizar quais cofres devem ser quebrados primeiro. Os cofres, que são protegidos por uma senha mestra selecionada pelo usuário, representam um problema específico para os usuários que buscam se proteger após a violação, porque alterar a senha principal agora com o LastPass não fará nada para proteger os dados do cofre que são já foi roubado.
Ou, como diz Johnson, “com os cofres recuperados, as pessoas que hackearam o LastPass têm tempo ilimitado para ataques offline, adivinhando senhas e tentando recuperar chaves mestras de usuários específicos”.
[ad_2]
Matéria ORIGINAL wired