O fabricante do gerenciador de senhas disse na quinta-feira que alguém invadiu uma das contas de seu desenvolvedor e usou isso para obter acesso a dados proprietários.
A empresa, uma grande fera no mundo da segurança e com sede em Massachusetts, insistiu que as senhas de seus usuários ainda estavam seguras, acrescentando que o roubo ocorreu há cerca de duas semanas. Diz-se que o LastPass, de propriedade da GoTo, tem mais de 25 milhões de usuários e 80.000 clientes empresariais.
“Determinamos que uma parte não autorizada obteve acesso a partes do ambiente de desenvolvimento do LastPass por meio de uma única conta de desenvolvedor comprometida e pegou partes do código-fonte e algumas informações técnicas proprietárias do LastPass”, disse o CEO Karim Toubba em comunicado.
“Nossos produtos e serviços estão operando normalmente.”
Toubba adicionou:
Após iniciar uma investigação imediata, não vimos evidências de que esse incidente tenha envolvido qualquer acesso a dados de clientes ou cofres de senhas criptografadas.
A invasão tornou-se aparente, nos dizem, depois que “alguma atividade incomum” foi detectada na área de desenvolvimento da rede de computadores do LastPass. A empresa de software disse que havia contido a violação de segurança, tomado medidas para evitar que isso acontecesse novamente e entrou em contato com especialistas externos de segurança da informação para obter ajuda.
O executivo-chefe disse que sua empresa pode tomar mais medidas para reforçar suas defesas de rede.
O LastPass oferece um cofre de software que armazena seus pares de nome de usuário e senha para fazer login em sites, evitando que você tenha que memorizar muitas sequências longas e complexas: você pode criar senhas únicas e difíceis de quebrar para cada conta do site e salvá-las em seu cofre. Uma senha mestra é necessária para desbloquear e usar essas credenciais. Tudo o que você precisa fazer é criar e lembrar dessa frase secreta.
Fomos informados de que essas senhas mestras ainda são seguras e não foram comprometidas ou acessadas pelo invasor, e o conteúdo dos cofres das pessoas também está intocado. Por um lado, o LastPass não sabe ou mantém uma cópia de sua senha mestra: isso é para você memorizar e proteger.
Sente-se e relaxe é a mensagem. “Nossa investigação não mostrou evidências de acesso não autorizado a dados de clientes em nosso ambiente de produção”, acrescentou o LastPass em comunicado. “Neste momento, não recomendamos nenhuma ação em nome de nossos usuários ou administradores.”
Dito isto, o LastPass não foi livre de erros ao longo dos anos. Em 2019, ele corrigiu um bug que os sites poderiam explorar para roubar senhas de contas em outros sites, teve uma falha séria de vazamento de senha em seu código em 2017 e assim por diante.
Fonte: The Register
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
