O Information Commissioner’s Office (ICO) do Reino Unido multou a empresa de gerenciamento de senhas LastPass em £1,2 milhão por falhas na implementação de medidas de segurança.
Essas vulnerabilidades permitiram que um atacante roubasse informações pessoais e cofres de senhas criptografadas de até 1,6 milhão de usuários britânicos durante uma violação ocorrida em 2022.
Segundo o ICO, o incidente teve origem em duas brechas interligadas, identificadas a partir de agosto de 2022.
A primeira ocorreu quando um hacker comprometeu o laptop de um funcionário da LastPass, acessando parte do ambiente de desenvolvimento da empresa.
Embora nenhum dado pessoal tenha sido extraído nessa etapa, o invasor obteve o código-fonte, informações técnicas proprietárias e credenciais criptografadas da companhia.
Inicialmente, a LastPass acreditava que o ataque estava contido, pois as chaves para descriptografar as credenciais estavam armazenadas separadamente, em cofres de quatro funcionários seniores.
No entanto, no dia seguinte, o hacker explorou uma vulnerabilidade conhecida em um aplicativo de streaming de terceiros – supostamente o Plex – instalado em um dispositivo pessoal de um desses funcionários.
Com isso, foi possível instalar malware, capturar a senha mestre por meio de um keylogger e contornar a autenticação multifator (MFA) usando um cookie previamente autenticado.
Como o funcionário utilizava a mesma senha mestre para os cofres pessoais e corporativos, o atacante acessou o cofre empresarial, roubando uma chave de acesso da Amazon Web Services e uma chave de descriptografia.
Essas chaves, combinadas às informações previamente obtidas, permitiram ao invasor invadir a plataforma de armazenamento em nuvem GoTo e roubar backups do banco de dados da LastPass armazenados ali.
Os dados pessoais incluíam cofres de senhas criptografados, nomes, e-mails, telefones e URLs vinculados às contas dos clientes.
Na época, o CEO da LastPass, Karim Toubba, revelou que o invasor copiou informações básicas de contas e metadados relacionados, como nomes de empresas e usuários finais, endereços de cobrança, números de telefone e endereços IP usados para acessar o serviço.
Também foi copiado um backup dos cofres dos clientes, armazenado em formato binário proprietário, contendo dados parcialmente não criptografados (como URLs) e campos sensíveis totalmente cifrados — como nomes de usuário, senhas, notas seguras e dados preenchidos automaticamente.
O ICO ressaltou que os cofres de senha não foram descriptografados, graças à arquitetura “Zero Knowledge” da LastPass, que não armazena nem conhece as senhas mestres usadas pelos clientes para desbloquear seus cofres.
Entretanto, a própria LastPass alertava que a segurança dessas senhas dependia da complexidade da senha mestre escolhida.
Senhas fracas poderiam ser resetadas, segundo o comunicado da empresa sobre o ataque.
Isso ocorre devido à possibilidade de ataques de força bruta utilizando GPUs para quebrar senhas fracas, permitindo que criminosos acessem cofres.
Pesquisadores afirmam que essa técnica já foi usada para descriptografar cofres da LastPass e realizar ataques para roubo de criptomoedas.
John Edwards, Comissário de Informação, destacou que gerenciadores de senha continuam essenciais para a segurança digital, mas que as empresas responsáveis devem proteger seus sistemas e controles de acesso contra ataques direcionados.
Ele ressalta que os clientes da LastPass tinham a legítima expectativa de que suas informações fossem protegidas, o que não ocorreu, justificando a aplicação da multa.
O ICO recomenda que organizações revisem a segurança de seus dispositivos, os riscos associados ao trabalho remoto e as restrições de acesso.
Para os usuários, é fundamental utilizar senhas fortes e complexas.
A LastPass sugere senhas com pelo menos 12 caracteres, misturando letras maiúsculas e minúsculas, números, símbolos e caracteres especiais.
Entretanto, em ataques com maior poder computacional e possibilidade de ataques offline, é mais seguro usar senhas mestras com pelo menos 16 caracteres ou frases longas compostas por múltiplas palavras, especialmente para proteger informações altamente sensíveis, como cofres de senhas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...