A LastPass anunciou que começará a criptografar as URLs armazenadas nos cofres dos usuários para aumentar a privacidade e proteção contra violações de dados e acessos não autorizados.
O fornecedor do popular gerenciador de senhas também destaca que essa nova funcionalidade de segurança é um passo significativo para reforçar seu compromisso com a implementação de uma arquitetura de conhecimento zero no produto, visando não apenas a proteção dos dados contra ameaças externas.
Quando os usuários visitam um site, o LastPass compara a URL com uma entrada no cofre de senhas do usuário para determinar se eles têm credenciais armazenadas e, em seguida, oferece para inseri-las automaticamente.
O LastPass diz que, devido a restrições de capacidade de processamento em 2008, quando esse sistema foi criado, seus engenheiros decidiram deixar essas URLs descriptografadas, reduzindo a carga sobre os CPUs e minimizando o consumo de energia do software.
Com a maioria das restrições de desempenho de hardware do passado agora superadas, o LastPass agora pode começar a criptografar/descriptografar esses valores de URL em tempo real, sem que o usuário perceba qualquer lentidão no desempenho do navegador, ao mesmo tempo que usufrui da máxima segurança dos dados.
O LastPass afirma que isso está sendo feito para aprimorar a segurança do usuário e cumprir com a arquitetura de conhecimento zero da empresa.
"É possível que as URLs contenham detalhes sobre a natureza das contas associadas às suas credenciais armazenadas (ex.: bancos, e-mail, mídias sociais)", explica o LastPass.
"Criptografar as URLs associadas às suas contas, assim como todos os outros campos privados no cofre do LastPass, expandirá nossa arquitetura de conhecimento zero e aumentará a privacidade do cliente, ao mesmo tempo em que ajudará a mitigar ainda mais o risco ao garantir que URLs relacionadas a serviços ou contas específicas salvas dentro do seu cofre permaneçam privadas."
A segurança de conhecimento zero da LastPass opera sob a premissa de que todos os dados do cliente devem ser criptografados e, assim, inacessíveis ao LastPass e a hackers que possam violar seu serviço.
Em 2022, o LastPass sofreu duas violações que, em última análise, permitiram que atores de ameaças roubassem código-fonte, dados de clientes e backups de produção, incluindo cofres de senhas criptografados.
O CEO do LastPass, Karim Toubba, disse na época que apenas os clientes conheciam a senha mestra necessária para descriptografar os cofres.
No entanto, os dados roubados incluíam senhas mestras criptografadas, as quais o LastPass advertiu que poderiam ser descriptografadas se fossem fracas.
Os dados roubados também incluíam URLs não criptografadas associadas às entradas de senha, fornecendo informações valiosas sobre quais cofres de senhas poderiam ser visados para roubar credenciais de serviços financeiros, como bolsas de criptomoedas.
Mais tarde, foi revelado que os atores de ameaças descriptografaram algumas dessas senhas mestras mais fracas e usaram as credenciais armazenadas para violar bolsas de criptomoedas e roubar mais de US$ 4 milhões em fundos.
O LastPass diz que a criptografia de URLs exige que eles refaturem a funcionalidade dos componentes do cliente e do back-end, um trabalho que já está progredindo bem.
A primeira fase da implementação da criptografia de URLs ocorrerá no próximo mês (junho de 2024), criptografando automaticamente os campos de URL primários para todas as contas existentes e novas.
Durante essa fase, os campos de URL duplicados e herdados no cofre serão excluídos, enquanto contas pessoais e empresariais receberão e-mails informando sobre as mudanças.
A segunda fase ocorrerá em algum momento no segundo semestre do ano, quando os seis campos relacionados a URLs restantes armazenados nos cofres do LastPass também serão automaticamente criptografados.
Esses seis valores dizem respeito aos URLs de domínio equivalentes, URLs coringa, URLs de redirecionamento, URLs personalizados definidos pelo usuário, URLs armazenados em notas do usuário e URLs históricos.
Atualmente, os usuários não precisam tomar nenhuma ação, mas o LastPass enviará instruções passo a passo por e-mail para as contas impactadas sobre como tirar vantagem quando o lançamento começar no próximo mês.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...