Após uma fuga de dados que teve lugar há vários meses, o gestor da palavra-passe LastPass revela que o hacker pode ter acedido a alguma informação sensível do cliente. Assim, devem ser tomadas algumas precauções, para as pessoas que teriam armazenado “frases de sementes” de carteiras de moedas criptográficas através deste serviço.
LastPass password manager hacked
Na quinta-feira, as equipas de gestão de palavra-passe LastPass informaram que um hacker tinha obtido acesso a dados sensíveis comprometidos numa fuga de dados em 25 de Agosto:
“Com base na nossa investigação até à data, soubemos que um actor malicioso desconhecido acedeu a um ambiente de armazenamento baseado em nuvem, explorando informações obtidas a partir do incidente que revelámos anteriormente em Agosto de 2022. “
Um gestor de senhas permite, como o nome sugere, armazenar todas as senhas de uma pessoa, e gerar facilmente novas, altamente seguras. A base de dados LastPass, que foi pirateada, contém as informações pessoais dos clientes armazenadas no seu cofre. Uma vez que o cofre pode conter todo o tipo de dados, tais como documentos de identidade ou chaves privadas para carteiras de moeda criptográfica, estes dados estão agora sujeitos a fugas.
Uma vez que os cofres são seguros por senhas que não são armazenadas pela LastPass, a empresa diz que os dados que contêm continuam supostamente seguros, desde que a senha não seja encontrada.
No entanto, um investidor acredita que a LastPass não estaria a revelar toda a extensão da situação, uma vez que quatro das suas carteiras secundárias, cuja frase de sementes guardou na aplicação, foram esvaziadas:
Penso que a situação em @LastPass pode ser pior do que estão a deixar passar.
No domingo dia 18, quatro das minhas carteiras foram comprometidas. As perdas não são significativas.
As suas sementes foram mantidas, encriptadas, no meu último cofre, atrás de uma palavra-passe de 16 caracteres usando todos os tipos de caracteres.
– path.eth 🛡️ (@Cryptopathic) Dezembro 23, 2022
Embora a vítima assegure que as perdas não são significativas, insiste que a senha do seu cofre não foi utilizada em nenhum outro lugar e que a sua complexidade exclui a possibilidade de um “ataque por força bruta” ser decifrado.
O que fazer se usar o LastPass
Dados os dados sensíveis que podem estar escondidos por detrás de todas estas palavras-passe, não se deve confiar apenas na comunicação pública da LastPass.
Se estivesse a armazenar frases de sementes de carteiras criptográficas neste serviço, seria sensato transferir todos estes fundos para um endereço chave privado diferente, como precaução.
A alteração da palavra-passe principal para aceder ao cofre não será suficiente, uma vez que a palavra-passe actual permanecerá a mesma na base de dados roubada, e o(s) hacker(s) poderá(ão) ainda aceder à informação armazenada na mesma.
Por conseguinte, seria prudente alterar o seu gestor de senhas, mas sobretudo redefinir todas as senhas de todas as suas contas consideradas como “sensíveis”. Para autenticações de dois factores (2FA) alojadas na aplicação, também devem ser reiniciadas para utilizar outro serviço.
Embora esta fuga de dados seja muito mais grave do que as alegações da LastPass, também se deve ter em conta que quaisquer cartões de crédito ou documentos de identidade que foram armazenados nestes cofres também podem estar em risco.
