Em uma violação de dados no início deste ano, o gigante do gerenciador de senhas LastPass confirmou que os cibercriminosos roubaram os cofres de senhas criptografadas de seus clientes, que armazenam suas senhas e outros segredos.
O CEO do LastPass, Karim Toubba, declarou em uma postagem de blog atualizada sobre a divulgação de que os invasores usaram chaves de armazenamento em nuvem roubadas para roubar uma cópia de um backup dos dados do cofre do cliente. O “formato binário proprietário” no qual o cache dos cofres de senha do cliente é armazenado contém dados de cofre não criptografados e criptografados, mas os detalhes técnicos e de segurança do formato proprietário não foram especificados. Os endereços da Web armazenados no cofre são incluídos nos dados não criptografados. O quão recentes são os backups roubados não está claro.
De acordo com o LastPass, os cofres de senha dos clientes são criptografados e só podem ser abertos com a senha mestra, que apenas o cliente conhece. No entanto, a empresa afirmou que os invasores “podem tentar usar a força bruta para adivinhar sua senha mestra e descriptografar as cópias dos dados do cofre que fizeram” e emitiu um aviso sobre isso.
De acordo com Toubba, os cibercriminosos também pegaram muitas informações de clientes, como nomes, endereços de e-mail, números de telefone e algumas informações de cobrança.
Quando se trata de armazenar suas senhas, que devem ser longas, complicadas e específicas para cada site ou serviço, os gerenciadores de senhas são de longe a melhor opção. No entanto, incidentes de segurança como este servem como um lembrete de que nem todos os gerenciadores de senhas são criados iguais e que diferentes maneiras podem ser usadas para atacá-los ou comprometê-los. Como o modelo de ameaça de cada pessoa é único, não há duas pessoas que precisem das mesmas coisas.
Apontamos isso em nossa análise do aviso de violação de dados do LastPass, que afirmava que “tudo o que eles precisariam é da senha mestra da vítima” no caso de um erro raro (não um erro de digitação) como esse. Um cofre de frase secreta descoberto ou comprometido é praticamente tão sólido quanto a criptografia – e a chave secreta – usada para embaralhá-lo.
Como cliente do LastPass, alterar sua senha mestra atual para uma nova senha única (ou senha) que você anota e mantém em um local seguro é a melhor coisa que você pode fazer. Seu cofre LastPass atual está protegido como resultado disso.
Você deve começar a alterar as senhas armazenadas em seu cofre do LastPass se acreditar que seu cofre de senhas pode estar comprometido, por exemplo, se sua senha mestra for fraca ou se você a tiver usado em outro lugar. Comece com as contas mais importantes, como seu e-mail, banco, mídia social e contas do plano de celular, e vá descendo na lista de prioridades.
A boa notícia é que qualquer conta protegida por autenticação de dois fatores, como um pop-up em seu telefone ou um código enviado por mensagem de texto ou e-mail, tornará muito mais difícil para um invasor acessar suas contas sem esse segundo fator. Por isso, é essencial proteger primeiro essas contas de segundo fator, como as contas de e-mail e do plano de celular.
