O LastPass, famoso gerenciador de senhas, confirmou um vazamento de informações de seus usuários na quinta-feira (22). De acordo com uma publicação oficial do LastPass, o invasor utilizou resquícios de outro ataque que ocorreu em agosto desse ano.
Neste ataque, o invasor conseguiu roubar credenciais de acesso de funcionários do LastPass e ter acesso a códigos-fonte e outros arquivos. Com isso, o invasor também obteve acesso a dados de usuários do serviço, incluindo nomes de empresas, nomes de usuários finais, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP de onde os clientes acessavam o LastPass.
Risco para as senhas?
O LastPass assegurou que o hacker não conseguiu obter acesso a dados como número de cartão de crédito dos clientes, por exemplo. No entanto, afirmou que existe um risco do invasor conseguir acessar as senhas criadas pelos clientes do serviço.
Isso porque a LastPass armazena os dados de produção de senhas em datacenters com armazenamento em nuvem. O hacker também conseguiu copiar um backup dos dados do cofre dos clientes, que é criptografado. Neste local estão dados não criptografados, como URLs de sites, bem como campos confidenciais totalmente criptografados, como nomes de usuários de sites e senhas.
Esses campos criptografados permanecem protegidos com criptografia AES de 256 bits. O único modo de desbloquear o acesso é através de uma chave de criptografia exclusiva derivada da senha mestra de cada usuário usando nossa arquitetura Zero Knowledge.
Ou seja, o serviço funciona como o Bitcoin (BTC), cuja chave pública deriva de uma chave privada. Sem ter a chave exclusiva, o hacker não consegue acessar as senhas criadas pelos usuários. Mas a LastPass afirmou que o invasor pode obter as senhas de outra maneira.
“O agente da ameaça pode tentar usar força bruta para adivinhar a senha mestra e descriptografar as cópias dos dados do cofre que eles tiraram. Devido aos métodos de hash e criptografia que usamos para proteger nossos clientes, seria extremamente difícil tentar adivinhar senhas mestras por força bruta para os clientes que seguem nossas práticas recomendadas de senha”, disse a empresa.
- Leia também: Justiça apreende jatinho de Wesley Safadão por envolvimento com ‘Sheik dos Bitcoins’; entenda
Cuidados
Geradores de senhas são uma excelente ferramenta para criar senhas seguras de acesso a vários serviços importantes. Por exemplo, uma pessoa que negocia criptomoedas pode utilizar esse sistema para gerar uma senha de acesso para a sua conta em uma exchange.
Só que há vários riscos quando ocorrem vazamentos dessa natureza, especialmente quanto a exposição dos dados de senhas. Se o hacker conseguir acessar a senha, ele poderá entrar em qualquer serviço o qual o usuário proteja utilizando a senha hackeada.
Isso pode acontecer até com criptomoedas, conforme noticiou o CriptoFácil em setembro sobre o roubo de endereços de Ethereum. Hackers invadiram o gerador de carteiras Profanity e conseguiram roubar as chaves privadas, levando pelo menos R$ 17 milhões em Ether (ETH) na ocasião.