O hack do Lastpass foi pior do que a empresa relatou pela primeira vez

Depois de ser hackeado pela segunda vez em tantos anos em agosto, o aplicativo gerenciador de senhas Lastpass anunciou na quinta-feira que a invasão mais recente foi muito mais prejudicial do que o relatado inicialmente, com os invasores roubando os cofres de senhas dos usuários em alguns casos. Isso significa que os ladrões têm coleções inteiras de dados pessoais criptografados das pessoas, se não o método imediato para desbloqueá-los.

“Nenhum dado do cliente foi acessado durante o incidente de agosto de 2022”, explicou o CEO da LastPass, Karim Toubba. No entanto, parte do código-fonte do aplicativo foi levantada e usada para convencer um funcionário do Lastpass a desistir de suas credenciais de acesso e, em seguida, usou essas chaves para descriptografar e copiar “alguns volumes de armazenamento no serviço de armazenamento baseado em nuvem”.

Entre os dados criptografados obtidos pelos hackers, estavam informações básicas da conta do cliente, como nomes de empresas, cobrança, e-mail e endereços IP; e números de telefone, continuou Toubba. “Esses campos criptografados permanecem protegidos com criptografia AES de 256 bits e só podem ser descriptografados com uma chave de criptografia exclusiva derivada da senha mestra de cada usuário usando nossa arquitetura Zero Knowledge”, disse Toubba. “Como lembrete, a senha mestra nunca é conhecida pelo LastPass e não é armazenada ou mantida pelo LastPass.”

Ainda assim, você vai acreditar na palavra da empresa? Eu não sou. Vai ser uma dor, mas trocar todas as suas várias senhas de sites existentes por novas – bem como escolher uma nova senha mestra – pode ser necessário para recuperar sua segurança online. Ou você pode simplesmente dizer ao Lastpass para chutar pedras e mudar para 1Password ou Bitwarden.