Pesquisar
Close this search box.

TECNOLOGIA

Troque suas senhas: cofres do LastPass foram levados por hackers

Publicados

em

Lastpass sofre ataque hacker
Tecnoblog

Lastpass sofre ataque hacker

O LastPass sofreu duas invasões  desde agosto. Agora, o CEO da companhia tem más notícias: na última semana, Karim Toubba afirmou que os hackers conseguiram copiar um backup com os cofres dos clientes. O lado bom (se é que há um) é que ninguém consegue acessar as informações criptografadas sem a senha mestre.

O episódio dá sequência às explicações oferecidas desde o primeiro incidente de segurança de 2022.

De início, Toubba lembra que nenhum dado de cliente foi acessado em agosto. Na época, os  hackers coletaram partes do código-fonte do serviço e algumas informações técnicas.

Depois, outro ataque aconteceu no final de novembro: com as credenciais roubadas há cerca de quatro meses, os criminosos acessaram um armazenamento na nuvem do gerenciador de senhas.

Isto permitiu a cópia de informações básicas da conta do cliente e metadados relacionados. Estes dados, cabe ressaltar, também podem ser usados em ataques phishing, por exemplo.

Mas é aí que entra a notícia ruim: “Os invasores também conseguiram copiar um backup dos dados do cofre do cliente do contêiner de armazenamento criptografado, que é armazenado em um formato binário proprietário que contém dados não criptografados, como URLs de sites, bem como campos confidenciais totalmente criptografados, como nomes de usuários de sites e senhas, notas seguras e dados preenchidos em formulários”, alertou Toubba.

Cofres do LastPass são criptografados…

O executivo deu mais detalhes sobre a coleta das informações. Primeiro, Toubba tranquilizou os usuários ao lembrar que os “campos criptografados permanecem protegidos com criptografia AES de 256 bits”. Ou seja, para acessá-los, será preciso utilizar a senha do cofre, que sequer é armazenada pelo LastPass.

“A criptografia e descriptografia de dados são realizadas apenas no cliente LastPass local”, explicou.

Leia Também:  Escândalo das joias: Ex-ministro ganha R$ 34 mil dos cofres públicos

Ele também ressaltou que nenhum dado de cartão de crédito foi invadido – no entanto, de todos os problemas, esse é o menor.

Mais adiante, o executivo lembrou que os hackers podem usar a força bruta para descobrir a senha do cofre. Porém, esta não é uma alternativa muito simples: “seria extremamente difícil tentar adivinhar senhas mestras de força bruta para os clientes que seguem nossas práticas recomendadas de senha”, disse.

Até aí, tudo bem. No entanto, é preciso prestar a atenção neste trecho: “para os clientes que seguem nossas práticas recomendadas de senha”. E é aí que precisamos fazer uma observação importante: não são todas as pessoas que prestam a atenção nesse detalhe.

Vamos lembrar que “brasil” foi uma das senhas mais usadas no Brasil em 2022, atrás apenas de “123456”. Enquanto isso, “password” é a senha mais usada do mundo.

Se a credencial não foi criada aleatoriamente, ainda existe outros riscos, como ataques via phishing ou engenharia social. Além disso, existem usuários que utilizam a mesma senha em todos os serviços.

…mas o acesso não é impossível

Outros fatores precisam ser colocados na balança. Mas é importante começar por um ponto crucial: o comunicado cita apenas a senha como mecanismo de segurança.

Hoje em dia, esta não é a única barreira necessária para evitar acessos indevidos. E aqui vale citar a observação do The Verge, quando lembra que Toubba não citou nenhum recurso para impedir a tentativas contínuas para desbloquear o cofre.

No comunicado, o CEO também fala que o gerenciador utiliza “uma implementação mais forte do que o típico de 100.100 iterações da função de derivação de chave baseada em senha (PBKDF2)”. Essa informação pode ser verificada diretamente nas configurações avançadas da conta.

Leia Também:  Ana Maria decidiu se aposentar e programa terá nova apresentadora: ‘Foram 25 anos’

No entanto, voltemos ao site especializado: ao analisar uma conta antiga, um membro do Verge informou que o seu perfil estava configurado para 5.000 iterações. Ou seja, aparentemente, não são todas as pessoas que possuem o padrão reforçado.

Por fim, a cereja do bolo: o executivo fala que, desde 2018, o LastPass exige senhas mestras com, no mínimo, doze caracteres. “Isso minimiza muito a capacidade de adivinhação de senha de força bruta bem-sucedida”, explicou.

Mas e quem possui uma conta há mais tempo e utiliza uma senha fraca? O próprio comunicado já deixa claro que este cenário facilitaria uma invasão por força bruta.

E aí retornamos ao que já discutimos por aqui: nem todo mundo usa senhas individuais e fortalecidas.

Troque todas as senhas

O LastPass não informou a parcela de usuários impactados pelo incidente. Todavia, quem avisa, amigo é: com ou sem senha mestre forte, troque todas as credenciais guardadas no gerenciador. De preferência, crie senhas fortes.

A dica é válida, inclusive, para as chaves de autenticação em duas etapas. Também é importante tomar cuidado com solicitações estranhas, como o envio de emails ou mensagens falsas em nome da LastPass.

Enquanto isso, a companhia está reforçando a proteção dos seus sistemas. E esperamos que isto seja levado com atenção dessa vez, pois este não foi o único incidente de segurança na história do gerenciador de senhas: em 2015, o LastPass também sofreu um ataque hacker.

“Já notificamos um pequeno subconjunto (menos de 3%) de nossos clientes empresariais para recomendar que tomem determinadas ações com base em suas configurações de conta específicas”, disse Toubba.

Fonte: IG TECNOLOGIA

COMENTE ABAIXO:
Propaganda

TECNOLOGIA

Meta, Google e OpenAI firmam compromisso por IA mais responsável

Publicados

em

OpenAI, dona do ChatGPT, é uma das empresas que assinou compromisso com governo dos EUA
Unsplash/Rolf van Root

OpenAI, dona do ChatGPT, é uma das empresas que assinou compromisso com governo dos EUA

As sete principais empresas de inteligência artificial (AI) dos Estados Unidos concordaram nesta sexta-feira (21) em adotar uma série de medidas para desenvolver seus sistemas de forma mais responsável. O acordo foi realizado entre as companhias e o governo dos Estados Unidos.

Dentre os compromissos aceitos pela Amazon, Anthropic, Google, Inflection, Meta, Microsoft e OpenAI, estão investimentos em cibersegurança, realização de testes envolvendo aspectos de discriminação nos sistemas de IA antes de seus lançamentos, e um novo sistema de marca d’água em conteúdos gerados por IA.

Este último compromisso é uma forma das empresas sinalizarem que um texto, áudio, vídeo ou foto foi gerado por uma inteligência artificial, evitando que usuários acreditem, por exemplo, em deepfakes. As empresas ainda trabalham para implementar as novidades.

Por se tratar de um compromisso voluntário, a medida não é considerada uma regulação das empresas de IA, já que não há consequências para o descumprimento das promessas.

Leia Também:  Hackers usam apps de VPN falsos para espionar celulares das vítimas

Em paralelo à medida do governo, o Congresso dos EUA estuda propor uma lei para regulamentar sistemas de IA.

No Brasil, o presidente do Senado, Rodrigo Pacheco (PSD-MG), apresentou no início de maio um projeto de lei para regulamentar sistemas de inteligência artificial. Por enquanto, a matéria ainda não tem data para ser votada.

Fonte: Tecnologia

COMENTE ABAIXO:
Continue lendo

ALPINÓPOLIS E REGIÃO

MINAS GERAIS

POLÍCIA

ENTRETENIMENTO

MAIS LIDAS DA SEMANA