Violação de dados: senhas não foram comprometidas, diz LastPass

Após usuários relatarem notificações de tentativas de logins não autorizados, a LastPass, gerenciador de senhas freemium que armazena senhas criptografadas online, afirma que não há evidência de violação de dados, ou seja, de que as senhas nunca foram comprometidas e que não houve acesso de terceiros não autorizados, além de indicações de que credenciais do serviço tenham sido alvo de coleta por malwares, extensões de navegadores ou alguma companha de phishing.

Something very strange and bad is happening to a lot of people's @LastPass accounts. I posted this to Hacker News and it gathered 192 comments, including 7 separate reports of master password breaches & login attempts from the same Brazil IP range. Uhh. https://t.co/tcM0aFdavv`

— Greg Technology (@technology_greg) December 27, 2021

Inicialmente, Nikolett Bacso-Albaum, diretor sênior da LogMeIn Global PR, disse que esses alertas relatados pelos usuários estavam relacionados “a atividades bastante comuns relacionadas a bot”, que envolviam tentativas maliciosas de login em contas do serviço usando credenciais obtidas por esses invasores em violações passadas de serviços de terceiros. “É importante observar que não temos nenhuma indicação de que as contas foram acessadas com sucesso ou que o serviço LastPass foi comprometido por uma parte não autorizada”, disse Basco-Albaum. “Monitoramos regularmente este tipo de atividade e continuaremos a tomar medidas para assegurar que a LastPass, seus usuários e seus dados permaneçam protegidos e seguros”.

Imagem: kpatyhka/Shutterstock

Na terça-feira (28), em discurso mais detalhado ao The Verge, o vice-presidente de gerenciamento da companhia, Dan DeMichele, disse que pelo menos alguns desses alertas foram “provavelmente disparados por engano”, devido a um problema que agora a empresa já resolveu.

Continuamos a investigar em um esforço para determinar o que estava causando o acionamento dos e-mails de alerta de segurança automatizados a partir de nossos sistemas.

Desde então, nossa investigação descobriu que alguns desses alertas de segurança, que foram enviados a um subconjunto limitado de usuários LastPass, provavelmente foram acionados por engano. Como resultado, ajustamos nossos sistemas de alerta de segurança e esta questão foi resolvida desde então.

Estes alertas foram acionados devido aos esforços contínuos da LastPass para defender seus clientes de maus atores e tentativas de enchimento de credenciais. Também é importante reiterar que o modelo de segurança de conhecimento zero da LastPass significa que em nenhum momento a LastPass armazena, tem conhecimento ou tem acesso à(s) senha(s) máster(es) dos usuários.

Continuaremos a monitorar regularmente para atividades incomuns ou maliciosas e, se necessário, continuaremos a tomar medidas para assegurar que a LastPass, seus usuários e seus dados permaneçam protegidos e seguros.

Imagem: LastPass/Reprodução

Ainda que sob investigação e não confirmada a violação à base de dados do serviço, é ideal que os usuários do gerenciador se senhas, por cautela, incluam autenticação multifatorial — recurso que utiliza fontes externas para verificar a identidade do proprietário da conta antes de conceder acesso.