O LastPass sofreu um ataque de hackers em Agosto, e começou por dizer que os atacantes tinham entrado no seu sistema mas que não tinham conseguido aceder a informação dos utilizadores. Mais tarde, vieram dizer que afinal tinham acedido a "alguma" informação mas não às passwords. E agora, vêm dizer que afinal também copiaram os "vaults" que contêm as passwords - mas que os utilizadores podem ficar descansados, pois estão encriptados com a master passwords a que nem o LastPass tem acesso (só os respectivos utilizadores).
Obviamente, a situação está longe de ser a ideal, e representa novo rombo na confiança dos utilizadores / clientes.
LastPass breach gets worse and worse.
— AJ Stuyvenberg (@astuyve) December 22, 2022
First: We were breached but no customer data was accessed
Next: Okay some customer data was accessed, but not password vaults.
Now: Customer password vaults were copied by the attacker but don't worry, it will be hard to crack your vault. https://t.co/V3kOfl7Xev pic.twitter.com/vbhL71R6ep
Os cofres com as passwords podem estar encriptados, mas não invalida que possam ser submetidos a ataques brute-force (resta a esperança que, quem use um sistema de gestão de passwords, tenha a preocupação de usar uma master password segura!) ou que essas passwords venham a ser conseguidas por outros ataques, com malware / key loggers / etc.
Para aqueles que confiaram numa master passwords mais "fácil", ou que até já faça parte das bases de dados de passwords descobertas, então todas as suas passwords guardadas no LastPass estarão em risco.
Veremos se este incidente ajuda a promover a adopção das Passkeys, que resolve o problema dispensando as passwords.
P.S. - Uma interpretação "sem tretas" do comunicado do LastPass revela indícios de que a empresa se está a preparar para atirar as culpas para os utilizadores quando as primeiras passwords começarem a ser crackadas.
As Passkeys não prevenia nada disto se a LastPass também armazena-se as Passkeys como a 1Password no cofre, em especial se estiver guardado fora da parte protegida, ou se estiver cifrado de tal maneira que os atacantes consigam decifrar. Porque haveria estar fora do cofre, ou mal cifrado? Porque os serviços secretos provavelmente o exigem, através daqueles mandatos secretos emitidos pelo tribunal das secretas... ainda com a ordem de não divulgar, estando sujeitos a ir parar à prisão se o fizerem.
ResponderEliminar