O Information Commissioner’s Office (ICO) do Reino Unido multou a empresa de gerenciamento de senhas LastPass em £1,2 milhão por falhas na implementação de medidas de segurança.
Essas vulnerabilidades permitiram que um atacante roubasse informações pessoais e cofres de senhas criptografadas de até 1,6 milhão de usuários britânicos durante uma violação ocorrida em 2022.
Segundo o ICO, o incidente teve origem em duas brechas interligadas, identificadas a partir de agosto de 2022.
A primeira ocorreu quando um hacker comprometeu o laptop de um funcionário da LastPass, acessando parte do ambiente de desenvolvimento da empresa.
Embora nenhum dado pessoal tenha sido extraído nessa etapa, o invasor obteve o código-fonte, informações técnicas proprietárias e credenciais criptografadas da companhia.
Inicialmente, a LastPass acreditava que o ataque estava contido, pois as chaves para descriptografar as credenciais estavam armazenadas separadamente, em cofres de quatro funcionários seniores.
No entanto, no dia seguinte, o hacker explorou uma vulnerabilidade conhecida em um aplicativo de streaming de terceiros – supostamente o Plex – instalado em um dispositivo pessoal de um desses funcionários.
Com isso, foi possível instalar malware, capturar a senha mestre por meio de um keylogger e contornar a autenticação multifator (MFA) usando um cookie previamente autenticado.
Como o funcionário utilizava a mesma senha mestre para os cofres pessoais e corporativos, o atacante acessou o cofre empresarial, roubando uma chave de acesso da Amazon Web Services e uma chave de descriptografia.
Essas chaves, combinadas às informações previamente obtidas, permitiram ao invasor invadir a plataforma de armazenamento em nuvem GoTo e roubar backups do banco de dados da LastPass armazenados ali.
Os dados pessoais incluíam cofres de senhas criptografados, nomes, e-mails, telefones e URLs vinculados às contas dos clientes.
Na época, o CEO da LastPass, Karim Toubba, revelou que o invasor copiou informações básicas de contas e metadados relacionados, como nomes de empresas e usuários finais, endereços de cobrança, números de telefone e endereços IP usados para acessar o serviço.
Também foi copiado um backup dos cofres dos clientes, armazenado em formato binário proprietário, contendo dados parcialmente não criptografados (como URLs) e campos sensíveis totalmente cifrados — como nomes de usuário, senhas, notas seguras e dados preenchidos automaticamente.
O ICO ressaltou que os cofres de senha não foram descriptografados, graças à arquitetura “Zero Knowledge” da LastPass, que não armazena nem conhece as senhas mestres usadas pelos clientes para desbloquear seus cofres.
Entretanto, a própria LastPass alertava que a segurança dessas senhas dependia da complexidade da senha mestre escolhida.
Senhas fracas poderiam ser resetadas, segundo o comunicado da empresa sobre o ataque.
Isso ocorre devido à possibilidade de ataques de força bruta utilizando GPUs para quebrar senhas fracas, permitindo que criminosos acessem cofres.
Pesquisadores afirmam que essa técnica já foi usada para descriptografar cofres da LastPass e realizar ataques para roubo de criptomoedas.
John Edwards, Comissário de Informação, destacou que gerenciadores de senha continuam essenciais para a segurança digital, mas que as empresas responsáveis devem proteger seus sistemas e controles de acesso contra ataques direcionados.
Ele ressalta que os clientes da LastPass tinham a legítima expectativa de que suas informações fossem protegidas, o que não ocorreu, justificando a aplicação da multa.
O ICO recomenda que organizações revisem a segurança de seus dispositivos, os riscos associados ao trabalho remoto e as restrições de acesso.
Para os usuários, é fundamental utilizar senhas fortes e complexas.
A LastPass sugere senhas com pelo menos 12 caracteres, misturando letras maiúsculas e minúsculas, números, símbolos e caracteres especiais.
Entretanto, em ataques com maior poder computacional e possibilidade de ataques offline, é mais seguro usar senhas mestras com pelo menos 16 caracteres ou frases longas compostas por múltiplas palavras, especialmente para proteger informações altamente sensíveis, como cofres de senhas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...