2022/08/27

Hackers roubam código fonte do LastPass

O LastPass volta a estar nas notícias, desta vez revelando que um hacker conseguiu aceder e roubar informação técnica e código fonte do seu programa.

O popular gestor de passwords passa por um embaraçoso incidente de não ter conseguido proteger devidamente o seu próprio produto. A empresa já confirmou que sofreu um ataque de hackers, que terão conseguido entrar no sistema através da conta de um developer e acedido a informação técnica e ao código fonte, mas que não terão conseguido aceder a dados dos clientes ou informação encriptada.

Apesar da informação dos clientes estar supostamente protegida e só poder ser descodificada pela "master password" de cada utilizador, este caso volta a relembrar os receios de colocar todas as passwords num único sítio. É certo que um gestor de passwords se torna de uso quase obrigatório nos dias de hoje, mas isso torna-o também num ponto de especial interesse para atacantes, que poderão potencialmente apoderar-se de todas as passwords de um utilizador se conseguirem entrar na sua conta (bem, na prática isso já acaba por acontecer se também conseguirem entrar na sua conta de email principal, que permita fazer a recuperação / reposição das passwords nos diferentes serviços).

Este é um daqueles casos em que se torna essencial utilizar autenticação 2-factor, para não ficar dependente unicamente de uma password que dê acesso a todas as passwords e demais informação que lá se tenha guardada.

5 comentários:

  1. Este comentário foi removido por um gestor do blogue.

    ResponderEliminar
    Respostas
    1. https://abertoatedemadrugada.com/2019/08/santander-adere-aos-sms-apesar-de.html?m=1
      https://abertoatedemadrugada.com/2022/02/ataque-vodafone-foi-feito-com-login-de.html?m=1

      Eliminar
    2. A segurança por 2 fatores não é nem nunca foi seguro desde o início. Depende de vários fatores, mas um deles de sorte. Basta que o presumível hacker consiga dar a volta a um operador, para que o mesmo mude o número de tlm associado a uma conta alegando que perdeu o tlm ou mudou o número.

      Eliminar
    3. Não confundir 2-factor com SMS.
      SMS é *um* dos métodos possíveis para 2-factor, e que é desaconselhado há muito tempo.
      Mas, 2.factor pode ser também através de códigos temporários gerados numa app, ou enviados via notificações, ou até por chave física USB / NFC / BT.

      Eliminar
    4. Um gajo lê cada coisa...

      Eliminar