O LastPass é um gerenciador de senhas freemium que armazena senhas criptografadas na nuvem, originalmente desenvolvido pela empresa Marvasol, Inc.
Desenvolvedores gerenciador de senhas LastPass, que é usado por mais de 33 milhões de pessoas e mais de 100.000 empresas, usuários notificados sobre um incidente em que invasores conseguiram acessar backups de armazenamento com dados do usuário do serviço.
Os dados incluíam informações como nome de usuário, endereço, e-mail, telefone e endereços IP de onde o serviço foi acessado, bem como nomes de sites não criptografados armazenados no gerenciador de senhas e logins, senhas, dados de formulário e notas criptografadas armazenadas nesses sites. .
Para proteger logins e senhas dos sites, A criptografia AES foi usada com uma chave de 256 bits gerada usando a função PBKDF2 com base em uma senha mestra conhecida apenas pelo usuário, com tamanho mínimo de 12 caracteres. A criptografia e descriptografia de logins e senhas no LastPass são feitas apenas no lado do usuário, e adivinhar a senha mestra é considerado irreal em hardware moderno, dado o tamanho da senha mestra e o número aplicado de iterações de PBKDF2 .
Para realizar o ataque, eles usaram dados obtidos pelos invasores durante o último ataque ocorrido em agosto e foi realizado comprometendo a conta de um dos desenvolvedores do serviço.
O ataque de agosto resultou no acesso dos invasores ao ambiente de desenvolvimento, código de aplicação e informações técnicas. Posteriormente, descobriu-se que os invasores usaram dados do ambiente de desenvolvimento para atacar outro desenvolvedor, para o qual conseguiram obter chaves de acesso ao armazenamento em nuvem e chaves para descriptografar dados dos contêineres ali armazenados. Os servidores em nuvem comprometidos hospedavam backups completos dos dados de serviço do trabalhador.
A divulgação representa uma atualização dramática para uma brecha que o LastPass divulgou em agosto. O editor reconheceu que os hackers "pegaram partes do código-fonte e algumas informações técnicas proprietárias do LastPass". A empresa disse na época que as senhas mestras dos clientes, senhas criptografadas, informações pessoais e outros dados armazenados nas contas dos clientes não foram afetados.
AES de 256 bits e só pode ser descriptografado com uma chave de descriptografia exclusiva derivada da senha mestra de cada usuário usando nossa arquitetura Zero Knowledge”, explicou o CEO da LastPass, Karim Toubba, referindo-se ao esquema de criptografia avançada. Zero Knowledge refere-se a sistemas de armazenamento impossíveis de serem violados pelo provedor de serviços. O CEO continuou:
Ele também listou várias soluções que o LastPass adotou para fortalecer sua segurança após a violação. As etapas incluem a desativação do ambiente de desenvolvimento invadido e a reconstrução do zero, a manutenção de um serviço gerenciado de detecção e resposta de endpoint e a rotação de todas as credenciais e certificados relevantes que possam ter sido comprometidos.
Dada a confidencialidade dos dados armazenados pelo LastPass, é alarmante que uma gama tão ampla de dados pessoais tenha sido obtida. Embora a quebra de hashes de senha exija muitos recursos, não está fora de questão, especialmente considerando o método e a engenhosidade dos invasores.
Os clientes do LastPass devem garantir que alteraram sua senha mestra e todas as senhas armazenadas em seu cofre. Eles também devem garantir que estão usando configurações que excedem as configurações padrão do LastPass.
Essas configurações embaralham senhas armazenadas usando 100100 iterações da função de derivação de chave baseada em senha (PBKDF2), um esquema de hash que pode impossibilitar a quebra de senhas mestras longas e únicas, e as 100100 iterações geradas aleatoriamente estão lamentavelmente abaixo do limite recomendado pela OWASP de 310 iterações para PBKDF000 em combinação com o algoritmo de hash SHA2 usado pelo LastPass.
Clientes LastPass eles também devem estar muito atentos a e-mails de phishing e telefonemas supostamente do LastPass ou outros serviços que buscam dados confidenciais e outros golpes que exploram seus dados pessoais comprometidos. A empresa também oferece orientações específicas para clientes corporativos que implementaram os serviços de login federado do LastPass.
Por fim, se você tiver interesse em saber mais sobre o assunto, pode consultar os detalhes no link a seguir.