O LastPass sofreu duas invasões desde agosto. Agora, o CEO da companhia tem más notícias: nesta quinta-feira (22), Karim Toubba afirmou que os hackers conseguiram copiar um backup com os cofres dos clientes. O lado bom (se é que há um) é que ninguém consegue acessar as informações criptografadas sem a senha mestra.
Neste ataque, o invasor conseguiu roubar credenciais de acesso de funcionários do LastPass e ter acesso a códigos-fonte e outros arquivos. Com isso, o invasor também obteve acesso a dados de usuários do serviço, incluindo nomes de empresas, nomes de usuários finais, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP de onde os clientes acessavam o LastPass.
O LastPass assegurou que o hacker não conseguiu obter acesso a dados como número de cartão de crédito dos clientes, por exemplo. No entanto, afirmou que existe um risco do invasor conseguir acessar as senhas criadas pelos clientes do serviço.
Isso porque a LastPass armazena os dados de produção de senhas em datacenters com armazenamento em nuvem. O hacker também conseguiu copiar um backup dos dados do cofre dos clientes, que é criptografado. Neste local estão dados não criptografados, como URLs de sites, bem como campos confidenciais totalmente criptografados, como nomes de usuários de sites e senhas.
Esses campos criptografados permanecem protegidos com criptografia AES de 256 bits. O único modo de desbloquear o acesso é através de uma chave de criptografia exclusiva derivada da senha mestra de cada usuário usando a nossa arquitetura Zero Knowledge.
Ou seja, o serviço funciona como o Bitcoin (BTC), cuja chave pública deriva de uma chave privada. Sem ter a chave exclusiva, o hacker não consegue acessar as senhas criadas pelos usuários. Mas a LastPass afirmou que o invasor pode obter as senhas de outra maneira.
“O agente da ameaça pode tentar usar força bruta para adivinhar a senha mestra e descriptografar as cópias dos dados do cofre que eles tiraram. Devido aos métodos de hash e criptografia que usamos para proteger os nossos clientes, seria extremamente difícil tentar adivinhar senhas mestras por força bruta para os clientes que seguem as nossas práticas recomendadas de senha”, disse a empresa.
