Se não alterou as suas palavras-passe após a violação de dados do LastPass, faça-o agora
Dificilmente passa uma semana sem que a notícia de uma violação de dados chegue aos cabeçalhos dos jornais. As consequências reais são aparentemente raras, e os ataques bem sucedidos são tão comuns que é quase tentador ignorá-los e continuar a trabalhar normalmente. Mas a violação de dados do LastPass em 2022 levou a que os criminosos acedessem a cofres de palavras-passe inteiros, o que levou a uma série de desmentidos cada vez mais implausíveis por parte da empresa.
Parece que a recente violação de segurança do LastPass resultou no acesso não autorizado e subsequente apropriação indevida de mais de trinta e cinco milhões de dólares em ativos digitais classificados como criptomoeda.
O que aconteceu na violação de dados do LastPass em 2022?
Uma solução robusta de gestão de palavras-passe é essencial para salvaguardar os seus activos digitais, aderindo a práticas sólidas de cibersegurança. Em vez de tentar recordar palavras-passe complexas ou utilizar recorrentemente logins idênticos em várias plataformas (o que é desaconselhado), este software automatiza a geração de códigos de autenticação robustos, armazenando-os de forma segura num repositório virtual encriptado.
Utilizando um gestor de palavras-passe excecional, é possível aceder ao seu repositório seguro introduzindo um código de acesso mestre, concedendo assim à ferramenta de gestão de palavras-passe permissão para utilizar um conjunto específico de detalhes de início de sessão para sítios Web individuais.
Ao confiar num gestor de palavras-passe, a pessoa confia nele várias informações sensíveis, como contas de correio eletrónico, credenciais bancárias online, detalhes de programas de fidelização e até armazenamento de criptomoedas.
Em agosto de 2022, foi noticiado que os hackers tinham obtido acesso não autorizado ao LastPass, um serviço online utilizado para armazenar palavras-passe. Apesar de ter dado várias garantias em contrário, o LastPass confirmou em dezembro do mesmo ano que as informações pessoais de alguns utilizadores e as bases de dados de palavras-passe encriptadas tinham sido efetivamente comprometidas. Durante esse período, várias pessoas entraram em contacto com o All Things N para expressar preocupações sobre o uso não autorizado das suas credenciais de início de sessão, que acreditavam ter sido obtidas através da violação de segurança do LastPass.
Apesar dos rumores generalizados e das alegações infundadas que circulam na Internet, sugerindo que os hackers tinham conseguido violar as bases de dados de palavras-passe descarregadas, o LastPass manteve-se firme nas suas garantias à sua base de clientes, afirmando que seria necessário um período de tempo impraticavelmente exorbitante para comprometer a chave de encriptação definida pelo utilizador no coração destes cofres digitais.
Revelações recentes colocam em dúvida as afirmações anteriores feitas pelo LastPass, sugerindo que as informações confidenciais armazenadas em seus cofres foram utilizadas para fins ilícitos, conforme indicado por uma série de transações questionáveis.
Como os criminosos estão a usar credenciais roubadas do LastPass
Para aceder à sua conta bancária, é habitual as instituições implementarem medidas de segurança adicionais para além de uma simples palavra-passe. Geralmente, isto envolve a utilização de uma aplicação especializada, a receção de uma mensagem SMS com um código único ou a utilização de outros métodos de autenticação multifactor.
As carteiras de criptomoedas que utilizam uma frase-semente para autenticação não oferecem o mesmo nível de segurança que os sistemas tradicionais baseados em palavras-passe. Estas frases são tipicamente compostas por doze ou mais palavras e concedem acesso ilimitado às criptomoedas de cada um, incluindo chaves privadas e histórico de transacções. Infelizmente, uma quantidade tão pequena de informação é tudo o que é necessário para que um agente malicioso consiga entrar sem autorização e roubar os fundos de um utilizador sem quaisquer credenciais ou autorizações adicionais.
Mas uma longa série de palavras aleatórias pode ser tão difícil de lembrar como uma palavra-passe particularmente complicada, e muitas pessoas guardam-nas nos cofres dos seus gestores de palavras-passe. E, como relata o The Verge , isso é uma óptima notícia para os hackers, que parecem ter roubado milhões de dólares em criptomoedas.
Nick Bax, diretor de análise da Unciphered, tem estado a analisar uma enorme quantidade de dados sobre roubos de criptomoedas descobertos por Taylor Monahan, da Metamask, e outros investigadores. Em setembro de 2023, ele disse a KrebsonSecurity que os criminosos haviam movido criptografia “de várias vítimas para os mesmos endereços de blockchain, tornando possível vincular fortemente essas vítimas”.
Depois de conduzir uma investigação por meio de entrevistas com indivíduos afetados, tornou-se evidente que uma caraterística compartilhada entre eles era a confiança no LastPass como um meio de armazenar frases-semente criptográficas.
A Bax encorajou as pessoas com ligações que utilizam o LastPass a actualizarem as suas credenciais de palavra-passe e a transferirem qualquer informação criptográfica potencialmente comprometida, como medida de precaução de segurança.
Altere todas as suas palavras-passe imediatamente
Os elementos criminosos têm tido amplas oportunidades de explorar chaves de encriptação obtidas ilicitamente para aceder a repositórios de palavras-passe obtidos ilegalmente.
É razoável assumir que os criminosos podem dar prioridade a criptomoedas facilmente transportáveis quando tentam explorar credenciais de início de sessão roubadas.No entanto, dada a sua falta de urgência, é altamente provável que eles já tenham acessado e comprometido quaisquer senhas salvas em uma conta LastPass. Consequentemente, é apenas uma questão de tempo até que estes indivíduos voltem a sua atenção para alvos menos valiosos.
Embora estes itens obtidos ilicitamente não tenham como objetivo explícito comprometer contas de e-mail, saldos de carteiras PayPal ou instituições bancárias, podem ainda assim ser reembalados e transferidos para outras entidades terceiras sem escrúpulos para posterior utilização maliciosa.
É altamente recomendável que modifique imediatamente qualquer palavra-passe guardada na sua conta LastPass antes do ano 2022, se esta continuar a ser utilizada atualmente.