A polêmica envolvendo invasões e vazamentos de dados do LastPass, conhecido gerenciador de senhas, ganhou hoje um novo capítulo. Em seu blog oficial, a empresa confirmou que crackers tiveram acesso a cofres com senhas de clientes armazenadas nos servidores da plataforma.
A atualização diz respeito a uma invasão revelada no fim de novembro — a segunda mirando o LastPass em menos de um ano. Na época, a empresa afirmou que uma pessoa usou informações obtidas na invasão de agosto para conseguir alguns dados dos usuários, mas ressaltou que as senhas não foram acessadas graças à criptografia adotada pela plataforma.
Agora, detalhando como se deu o vazamento, o LastPass revelou que os criminosos conseguiram roubar informações técnicas do ambiente de desenvolvimento da empresa, as quais lhe forneceram credenciais e chaves que foram “usadas para acessar e descriptografar alguns volumes de armazenamento dentro do serviço de armazenamento baseado em nuvem”.
Com isso, eles obtiveram acesso a um backup com dados de clientes com informações básicas da conta e dados relacionados, como nomes de empresas, nomes de usuários finais, endereços de cobrança, endereços de email, números de telefone e endereços IP de onde eles acessavam o serviço.
Mas eles também conseguiram copiar um backup dos dados do cofre do cliente com conteúdos confidenciais criptografados, como nomes de usuários de sites e senhas, notas seguras e dados de formulários. No mesmo cofre, também são armazenadas informações não criptografadas, as quais incluem dados menos sensíveis, como URLs de sites.
Quanto aos dados criptografados, o acesso por parte dos crackers só seria possível com o uso de “força bruta” para tentar adivinhar a senha mestra do usuário — a qual nem mesmo o LastPass tem acesso. A empresa vem adotando medidas para dificultar a adivinhação desta senha, como por exemplo o uso mínimo de 12 caracteres.
NOTA DE TRANSPARÊNCIA: O MacMagazine recebe uma pequena comissão sobre vendas concluídas por meio de links deste post, mas você, como consumidor, não paga nada mais pelos produtos comprando pelos nossos links de afiliado.
via TechCrunch