Quantas vezes é que o LastPass foi pirateado e ainda é seguro utilizá-lo?
Key Takeaways
Embora o LastPass tenha sofrido várias violações de dados ao longo do tempo, como um incidente notável em 2015 que comprometeu os endereços de e-mail e as senhas primárias dos usuários, é importante observar que aqueles que implementaram medidas de segurança adicionais poderiam ter sido poupados do perigo.
No ano passado, o LastPass foi alvo de escrutínio depois de uma investigação ter revelado que a sua aplicação para Android incorporava mecanismos de rastreio de terceiros, suscitando dúvidas quanto às suas medidas de segurança. Em resposta a estas alegações, o LastPass afirmou que esses rastreadores se destinavam a fins de monitorização do desempenho e que podiam ser desactivados ao critério do utilizador.
No ano passado, o LastPass sofreu uma violação de segurança substancial que resultou no acesso não autorizado a dados de clientes e conteúdos armazenados nos cofres digitais dos utilizadores. Consequentemente, este incidente também expôs ficheiros de cópia de segurança comprometidos que estavam protegidos por encriptação e provas que sugeriam que as chaves de encriptação tinham sido obtidas ilegalmente.
À luz dos numerosos lapsos de segurança experimentados pelo LastPass no passado, um número considerável da sua base de utilizadores optou por soluções alternativas de gestão de palavras-passe que mantêm um registo irrepreensível de proteção de dados.
O LastPass é um gerenciador de senhas amplamente utilizado que muitas pessoas usam para proteger suas informações confidenciais. No entanto, sofreu vários incidentes de segurança que resultaram na exposição de dados de clientes e, consequentemente, colocaram em risco os dados sensíveis dos utilizadores.
Tendo em conta as recentes preocupações com a segurança dos dados, podemos interrogar-nos sobre a frequência com que o LastPass, um popular serviço de gestão de palavras-passe, tem sofrido ataques informáticos e se a sua utilização continua a ser segura.
LastPass 2015 Breach
Crédito da imagem: Ervins Strauhmanis/ Flickr
Em junho de 2015, cerca de sete anos após a sua criação, foi descoberta uma grave violação de segurança no LastPass que comprometeu os endereços de e-mail e as informações da palavra-passe mestra da sua base de utilizadores, juntamente com quaisquer sugestões ou frases de lembrete utilizadas para fins de memorização. O incidente veio à tona quando a empresa detectou uma atividade de rede incomum, que prontamente tomou medidas para conter. No entanto, os danos já tinham sido infligidos antes desta deteção.
Numa nota de , agora expirada, dirigida aos clientes (disponível através do Internet Archive), o LastPass informou os utilizadores de que aqueles que utilizavam camadas de segurança adicionais, como hashing e salting, nas suas palavras-passe estavam provavelmente a salvo do hack.Felizmente, a maioria dos utilizadores do LastPass utiliza estes métodos de segurança, o que significa que apenas uma pequena parte dos clientes teve a possibilidade de ser afetada.
O LastPass informou que nenhuma conta de usuário foi comprometida como resultado do ataque cibernético, embora tenha recomendado fortemente que os usuários confirmem seus endereços de e-mail e redefinam qualquer senha mestra utilizada com frequência para medidas de segurança adicionais.
Algumas semanas após a invasão, o LastPass publicou um post no blogue afirmando que a sua segurança tinha melhorado desde a invasão, com uma série de pequenas e grandes mudanças a serem feitas para proteger ainda mais os clientes. Entre essas mudanças está a introdução de módulos de segurança de hardware (HSMs), que protegem a infraestrutura criptográfica do LastPass.
Incidente de rastreamento do LastPass 2021
Embora o LastPass não tenha sido hackeado em 2021, ele teve problemas quando foi descoberto que seu aplicativo para Android continha rastreadores de terceiros. Em fevereiro de 2021, um aplicativo de análise de segurança chamado Exodus Privacy revelou que havia encontrado sete rastreadores no aplicativo LastPass para Android, gerando suspeitas entre os usuários. O pesquisador de segurança Mike Kuketz comentou a descoberta em uma postagem no blog Kuketz IT Security , afirmando que “está completamente fora de questão integrar [anúncios e rastreadores] em aplicativos gerenciadores de senhas”.
Descobriu-se que o LastPass, um popular gestor de palavras-passe para dispositivos móveis, inclui vários rastreadores de terceiros na sua aplicação. Estes rastreadores foram identificados pelo especialista em cibersegurança Andrew Kuketz, que criticou a prática como sendo altamente suspeita no que diz respeito à privacidade do utilizador e à proteção de dados. Especificamente, os rastreadores utilizados pelo LastPass incluíam aqueles associados ao Google Analytics, Segment e AppsFlyer. Na opinião de Kuketz, a concessão de um acesso tão alargado a serviços de análise de marketing representava riscos significativos para as informações pessoais dos utilizadores e para a segurança online.
Para determinar se os rastreadores da aplicação LastPass para Android estão a monitorizar continuamente a atividade do utilizador, é necessário inspecionar manualmente o software. Embora a mera existência destes rastreadores possa indicar uma falta de prioridade para garantir a segurança na aplicação, é necessária uma investigação mais aprofundada para confirmar as suas capacidades de rastreio ativo.
Em resposta a esta crítica, o LastPass informou os utilizadores de que utiliza ferramentas de análise.O LastPass enfatizou que isso foi feito para obter informações sobre “telemetria de aplicativos, dados de relatórios de erros e falhas, bem como informações estatísticas de uso de alto nível para, em última análise, melhorar o desempenho geral, a confiabilidade e a usabilidade do [aplicativo]”.
A natureza opcional da componente analítica da aplicação LastPass não diminuiu a perceção negativa da sua inclusão, tanto entre os especialistas em segurança como entre os utilizadores finais.
Violações do LastPass em 2022
O LastPass sofreu um ataque cibernético subsequente em 2022, que se mostrou desafiador e se seguiu a uma violação inicial em 2015. Os eventos de 2022 tiveram repercussões significativas, como evidenciado pelo impacto contínuo sentido ao longo de 2023.
Em agosto de 2022, tivemos conhecimento de que um indivíduo não autorizado obteve acesso a um dos computadores portáteis dos nossos programadores, o que resultou no potencial comprometimento do nosso código-fonte e da nossa plataforma de desenvolvimento baseada na nuvem. Apesar de ser um motivo de preocupação, temos o prazer de informar que nenhum dado de cliente foi obtido pelo criminoso.
Depois de um breve período de relativa estabilidade, as circunstâncias voltaram a deteriorar-se. Em dezembro de 2022, o LastPass divulgou que a violação de segurança ocorrida em agosto havia fornecido aos cibercriminosos acesso a outros aspectos confidenciais de sua rede, que foram inicialmente comprometidos em novembro. Durante esta intrusão subsequente, indivíduos não autorizados obtiveram acesso a informações pessoais pertencentes a clientes do LastPass, incluindo correio eletrónico e detalhes de endereços de protocolo de Internet (IP), bem como registos de números de telefone e nomes. Além disso, certas categorias de dados contidas nos cofres digitais dos utilizadores também foram expostas, incluindo credenciais de início de sessão confidenciais utilizadas para autenticar o acesso a vários serviços online.
Não há dúvida de que o LastPass se encontra numa posição precária, com os acontecimentos a desenrolarem-se rapidamente em 2023 e a não mostrarem sinais de abrandamento.
Os efeitos posteriores de 2023
Apesar de não terem sido identificadas novas violações em relação ao LastPass durante o ano de 2023, surgiram detalhes cada vez mais inquietantes sobre incidentes ocorridos em 2022.
Em janeiro de 2023, a empresa-mãe do LastPass, a GoTo, divulgou uma declaração sobre as consequências dos hacks de 2022. A declaração da GoTo explicou que vários outros serviços da empresa, incluindo Central, Hamachi, Pro, join.me e RemotelyAnywhere, também foram alvo de invasores por meio de um dispositivo de armazenamento em nuvem de terceiros. A partir deste dispositivo, os atacantes roubaram cópias de segurança encriptadas.Além disso, a GoTo revelou que tinha encontrado provas que sugeriam que uma chave de encriptação para algumas das cópias de segurança roubadas também tinha sido acedida.
Em fevereiro de 2023, o LastPass voltou a fazer manchetes depois de ter sido revelado que, durante o período que separou as suas duas grandes violações em 2022, havia indícios de actividades nefastas adicionais por parte dos perpetradores.
De acordo com as informações fornecidas na mensagem anterior, foi relatado que, em novembro de 2022, os cibercriminosos violaram com sucesso o computador pessoal de um funcionário de alto nível do LastPass, explorando uma falha de segurança no suporte do software. Na sequência desta intrusão, os atacantes utilizaram uma ferramenta de registo de teclas que lhes permitiu monitorizar e registar as entradas do indivíduo no teclado, obtendo assim acesso a informações sensíveis.
A violação acima mencionada permitiu que os invasores obtivessem acesso às informações confidenciais armazenadas no cofre corporativo do LastPass, que estava protegido pela senha mestra do desenvolvedor. Incrivelmente, foi revelado que apenas quatro indivíduos da equipa de desenvolvimento sénior da empresa tinham acesso privilegiado a este recurso crítico, mas mesmo com uma exposição tão limitada, os cibercriminosos conseguiram penetrar eficazmente no sistema e comprometer a conta de pelo menos um programador.
Em 2022, os cibercriminosos utilizaram informações de login comprometidas de uma violação de dados para roubar aproximadamente US$ 4,4 milhões em ativos digitais por meio de acesso não autorizado a carteiras de criptomoedas usando frases-semente roubadas e chaves privadas obtidas durante outro incidente de segurança no mesmo ano.
O LastPass tem uma lista completa dos dados acedidos nos hacks de 2022 se quiser ver tudo o que foi exposto devido aos incidentes de 2022.
O LastPass ainda é seguro para uso?
Embora o LastPass tenha mantido sua presença como gerenciador de senhas desde 2008, um número alarmante de violações de dados e falhas de segurança ocorreu nos últimos anos. Considerando seu histórico de vulnerabilidades, não se pode deixar de ter alguma apreensão ao contemplar a segurança da utilização do LastPass. Assim, a questão mantém-se - o LastPass é uma opção fiável, ou seria mais prudente explorar soluções alternativas?
Embora a utilização do LastPass constitua uma alternativa mais segura em comparação com a utilização de aplicações básicas de tomada de notas ou repositórios de dados semelhantes, é bem possível que existam atualmente no mercado soluções superiores de gestão de palavras-passe. Lamentavelmente, o LastPass sofreu vários lapsos notáveis em termos de segurança cibernética, o que causou uma consternação considerável entre a sua base de utilizadores.Consequentemente, muitas pessoas abandonaram a plataforma devido a preocupações com futuras violações de segurança, optando por fornecedores com um registo de segurança impecável.
O Dashlane e o NordPass são exemplos ilustrativos de gestores de palavras-passe conceituados, conhecidos pelos seus registos de segurança sem compromissos, sugerindo assim que se pode identificar um gestor de palavras-passe com um historial intacto a este respeito.
Se estiver a pensar em mudar do LastPass e a procurar opções alternativas, oferecemos um tutorial informativo que o guia através do processo de desativação da sua conta LastPass. Além disso, para aqueles que procuram um gerenciador de senhas seguro, fornecemos uma análise abrangente das alternativas mais confiáveis disponíveis.
Embora o LastPass possa ter sofrido violações de segurança no passado, isso não o torna necessariamente uma opção não fiável para salvaguardar palavras-passe. De facto, a aplicação continua a oferecer uma grande variedade de funções valiosas concebidas para proteger informações de início de sessão sensíveis com facilidade, mesmo para aqueles que não são tecnologicamente sofisticados.
O LastPass não é o rei do gerenciamento de senhas
Embora a utilização do LastPass para armazenamento de senhas possa ser considerada uma abordagem convencional, é importante reconhecer que existem opções mais robustas e altamente seguras disponíveis no mercado. Estas soluções alternativas podem fornecer uma camada adicional de proteção para salvaguardar os dados confidenciais de uma pessoa.