Roubo de senhas da LastPass ocorreu em PC de funcionário, diz empresa

O LastPass, serviço de gerenciamento de senhas, publicou mais detalhes sobre a investigação que envolve alguns incidentes com roubo de dados e problemas com segurança ocorridos no ano passado, indicando que vazamentos podem ser mais graves do que se pensava anteriormente. 

O caso aconteceu em 2022 e a empresa informou, na época, que hackers roubaram dados do cofre de senhas parcialmente criptografado e informações dos servidores de armazenamento em nuvem da Amazon AWS por mais de dois meses.

Notícias relacionadas

Especialistas acusam LastPass de minimizar vazamento de senhas de usuários

Troque suas senhas: cofres do LastPass foram levados por hackers

Dona do LastPass revela que ataque de novembro roubou chaves de clientes

De acordo com a nova publicação, aparentemente, hackers envolvidos nesse ataque também se infiltraram no computador doméstico de um engenheiro de DevOps da empresa, explorando um pacote de software de mídia de terceiros.

Eles fizeram isso com um sistema keylogger (que grava cada tecla digitada) no software, para capturar a senha mestra do engenheiro para uma conta com acesso ao cofre corporativo do LastPass.

Depois, exportaram as entradas do cofre e as pastas compartilhadas que continham as chaves de descriptografia necessárias para desbloquear os buckets do Amazon S3 baseados em nuvem com backups de cofres do cliente.

Violações de segurança

No ano passado o LastPass também passou por uma violação de segurança em agosto de 2022, quando descobriram que uma "parte não autorizada" conseguiu entrar em seu sistema. Já a segunda violação, em dezembro, a companhia disse que os hackers usaram as informações obtidas no primeiro incidente para entrar em seu serviço de nuvem. 

Eles também admitiram que os hackers fugiram com informações confidenciais, incluindo seus baldes de armazenamento Amazon S3. Segundo o documento, os backups que estavam baseados em nuvem e foram acessados durante a segunda violação incluíam “segredos de API, segredos de integração de terceiros, metadados de clientes e backups de todos os dados do cofre do cliente”.

A LastPass, no entanto, afirmou que os dados confidenciais dos cofres do cliente, com algumas exceções, "só podem ser descriptografados com uma chave de criptografia exclusiva derivada da senha mestra de cada usuário". 

Para tentar tranquilizar a situação, a companhia aletgou que não armazena as senhas mestras dos usuários e garantiu que invistirá em mais tecnologia para aumentar a segurança das pessoas.