O melhor pedaço da Maçã.
Ilustração de notebook e logo do LastPass

Caso LastPass: funcionário foi hackeado antes de invasão

O LastPass compartilhou novas informações sobre a invasão que expôs senhas e outras informações sensíveis de seus usuários em dezembro passado. No seu blog oficial, a empresa confirmou que o incidente aconteceu depois que o computador pessoal de um de seus engenheiros foi invadido.

Publicidade

Segundo o LastPass, os criminosos se aproveitaram de outro ataque que afetou serviço em agosto de 2022 para invadir a máquina de um de seus funcionários com acesso ao armazenamento na nuvem da empresa. Essa ação, vale lembrar, teve como alvo o ambiente de desenvolvimento da empresa e o o código-fonte do seu aplicativo.

Durante o episódio, os invasores exploraram mais uma vulnerabilidade, desta vez na plataforma de mídia Plex, para injetar um malware do tipo keylogger no computador de um dos seus quatro engenheiros com acesso ao cofre corporativo da empresa.

Esse malware, por sua vez, conseguiu capturar a chave de acesso do engenheiro para entrar no serviço de nuvem da empresa enquanto ele a digitava. Segundo o gerenciador de senhas, esse cofre continha backups de usuários, chaves de itens criptografados, pastas compartilhadas e outros dados.

Publicidade

Como a chave usada se tratava de uma informação procedente, a invasão acabou passando despercebida pelo LastPass. Acredita-se que os criminosos tenham tido acesso aos servidores do gerenciador de senhas por pelo menos dois meses.

O ataque só foi identificado quando o LastPass recebeu um alerta da AWS GuardDuty Alerts de que os invasores haviam tentado usar as funções do Cloud Identity e do Access Management (IAM) para realizar atividades não autorizadas nos seus servidores.

Ainda de acordo com o LastPass, o engenheiro afetado pelo ataque já foi instruído a reforçar a segurança da sua rede pessoal. Além disso, a empresa também revogou todos certificados obtidos pelos invasores, adotou um sistema de rotação de senhas/tokens e adicionou uma série de alertas nos seus sistemas de login. A empresa também lembrou seus usuários de trocarem as suas senhas.


Ícone do app LastPass Password Manager
LastPass Password Manager de LastPass US LP
Compatível com iPadsCompatível com iPhonesCompatível com Apple Watches
Versão 6.6.0 (197.9 MB)
Requer o iOS 15.0 ou superior
GrátisBadge - Baixar na App Store Código QR Código QR

NOTA DE TRANSPARÊNCIA: O MacMagazine recebe uma pequena comissão sobre vendas concluídas por meio de links deste post, mas você, como consumidor, não paga nada mais pelos produtos comprando pelos nossos links de afiliado.

via Ars Technica

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

iMessage chega ao Windows pelo app Vincular ao Celular

Próx. Post

HBO Max subirá preço no Brasil para R$34,90 mensais [atualizado]

Posts Relacionados