LastPass alerta utilizadores para eventual quebra de segurança…
... e pede a todos para mudarem a password mestra como medida preventiva.
O serviço LastPass é um dos melhores que existem na Internet quanto a tarefa é guardar password. Permite uma integração com todos os browsers do mercado e tem inclusive uma aplicação para Windows. Conseguimos ter na nuvem, de forma segura, todas as nossas passwords e acedemos-lhe facilmente. Cientes da informação que têm do seu lado, os gestores deste serviço estão constantemente a monitorizar tudo o que se passa no seu serviço e nas máquinas que o prestam.
Na passada quarta feira, e numa analise aos logs dos seus servidores, a LastPass detectou um fluxo anormal de tráfego num dos seus servidores. Segundo a LastPass, e porque não conseguiram identificar a causa desse tráfego anormal, houve provavelmente um ataque e é possível que tenha sido dado acesso a dados dos utilizadores.
Numa informação publicada no seu blog, a LastPass deu conhecimento aos seus utilizadores desta situação e recomendaram aos seus utilizadores que alterassem a palavra passe de acesso aos seus dados.
Detectaram inclusive trafego a ser direccionado da base dados para fora da rede em valores superiores aos anormais. O maior problema da LastPass neste processo foi o não conseguirem identificar a causa do pico de tráfego que foi detectado.
A informação divulgada indica que o volume de dados que foi retirado da base de dados deve corresponder aos endereços de email dos utilizadores, a chave de encriptação do servidor e as passwords cifradas. Não foi detectado que tenha sido retirada muita informação cifrada da base de dados, para além da indicada.
Como medida preventiva e assumindo que o serviço possa estar comprometido, foi decidido pela LastPass pedir aos utilizadores que alterassem de forma imediata as passwords. Os utilizadores que usem passwords fortes e não baseadas em palavras de dicionário não devem ser afectados.
Caso tenha existido a suspeita quebra de segurança e os dados tenham passado para mãos indevidas, o problema não deve ter efeito imediato. Nenhuma password foi disponibilizada em claro, segundo informações a LastPass, e graças à criptografia aplicada será necessário algum tempo para que estas sejam quebradas.
Apesar de não estar a ser pedido de forma activa que a password seja alterada, a LastPass recomenda esta acção. Caso o acesso a uma conta e aos dados se realize de um endereço IP que não esteja associado a esse utilizador, então essa alteração vai ser pedida e o acesso é inibido.
A tomada de posição da LastPass face ao sucedido é provavelmente excessiva, mas, tal como a empresa referiu, preferem tomar esta posição e forçar a alteração das palavras passe e evitar assim que surjam problemas para os muitos utilizadores do seu serviço.
Because we can't account for this anomaly either, we're going to be paranoid and assume the worst: that the data we stored in the database was somehow accessed.
We know roughly the amount of data transfered and that it's big enough to have transfered people's email addresses, the server salt and their salted password hashes from the database.
We also know that the amount of data taken isn't remotely enough to have pulled many users encrypted data blobs.
Devido ao impacto que esta noticia está a ter em todos os utilizadores do serviço, estão a existir problemas nos servidores da LastPass e o acesso tem estado a apresentar alguns problemas. Foram já tomadas medidas com vista a minimizar este impacto e espera-se que nas próximas horas tudo esteja estabilizado.
Se são utilizadores deste serviço é recomendável que procedam à alteração da palavra passe de acesso ao serviço. Os vossos dados estão salvaguardados, fruto da criptografia aplicada e que garante que para ser quebrada seja necessário tempo e recursos computacionais.
A ser verdade, este é apenas mais um caso a engrossar a vasta lista de serviços que viram os seus dados serem roubados. A segurança, mesmo sendo forte e apertada, está sempre sujeita a quebras.
Homepage: Blog LastPass
Homepage: LastPass
Este artigo tem mais de um ano
Boas.
Eu sei que este comentário nada tem a ver com a notícia aqui publicada. no entanto gostava de expressar o seguinte:
Relativamente à rubrica android, não sei que rumo é que vão tomar no que diz respeito ao tipo de programas a serem criados. na minha opinião a rubrica é muito interessante e gostaria muito de ver alguns tutoriais acerca de programação de jogos do estilo angry birds.
os offtopics deviam ser eliminados dos comentários.
para isso há o forum.
uma sugestão para a equipa pplware. avisem no fim de cada artigo/noticia que os offtopics serão eliminados. já que cada comentário é moderado…
“Conseguimos ter na nuvem, de forma segura, todas as nossas passwords”
pelos visto não é uma solução assim tão segura!
a segurança na internet sempre foi o seu grande calcanhar de Aquiles
A Internet cresceu num ambiente de ingenuidade pura. Ninguém achou que alguém quisesse usar a Internet para fim menos dignos. Até que a net chegou às massas… 😛
Nada é 100% seguro… ainda mais na web…
Tento mudar a password, mas pelos visto o servidor da LastPass está lento.
“Sorry! We are a bit overloaded right now. Try again in a few hours.”
Obrigado pelo alerta pplware!
sou utilizador assiduo da ferramenta e a unica password q lá tenho armazenada que é sensivel é a do portal de financas. nada de passwords de bancos, cartoes de crédito, etc.
nao estou a conseguir logar-me, também está a acontecer com voces?
Continuo sem perceber porque guardam as passwords tantos nos browsers como em outros aplicativos.
Eu acho que faz sentido.. nos browsers nem por isso, mas em aplicações como Lastpass, faz todo o sentido… a não ser que se use a mesma password para tudo!
Eu uso apenas para simples passwords como sites de legendas, forums, etc.
As passwords de paypal, mbnet, entre outros não deve ser guardado em formato digital, apenas na cabeça e com muito cuidado em papel.
“quem utiliza isto para guarda as passes?”
Burras são as pessoas que não usam, pois guardar os logins no browser é o pior erro que se pode fazer porque os hacks de passwords é feito pelas passes guardados no browser. Eu próprio conheço programas “virus” e existe vários sites que explicam como se faz e como não são detectados pelos antivirus que enviam ao próprio hacker toda a informação que está contida nos browsers.
Por isso para mim e uma gestão de segurança num browser passa pelo primeiro paragrafo que disse em cima, usando o lastpass e configurar o browser para quando fechar a janela limpar toda as informações contidas nele.
Browser ou não, é o mesmo. Não se deve guardar passes.
Mesmo que se guardem as passwords no pc, basta este ter ligação à net que já há a probabilidade (ainda que mínima, caso yenham o pc protegido) de isto acontecer.
Passwords importantes não as guardo em lado nenhum! Prefiro pedir a sua recuperação caso as esqueça (apesar de ser difícil isso acontecer ). Bom FDS 😉
O CEO do Lastpass deu um entrevista em que explica o que aconteceu http://goo.gl/uMR2I.
Mudar a password de acesso ao serviço não altera em nada os dados que poderão ter sido roubados, mas pode ser útil para quem realmente usou uma password do tipo “password” para não ter problemas futuros, até porque qualquer ataque à BD será feito offline.
é mais seguro usar o KeePass…
cada vez mais há menos segurança!
LIKE;) lool
Por algum motivo o meu comentário perdeu-se!!!
todo o incentivo para guardar as passwords sites online sempre achei que é o criminoso visto que ninguém garante a segurança dos dados mas isso acontece com todo tipo de dados que se põem online quer fotos , textos dados pessoais, e-mail, etc, e as empresas que detém esses dados arranjam sempre maneira de se livrarem das culpas caso aconteça problemas como se vê neste artigo, por isso o caminho consiste em informar as pessoas desses perigos e a maneira de serem evitados.
Então tendo em consideração so eventos presentes, é seguro agora criar lá uma conta?
Eu uso o xmarks no FF, será possível usar o LastPass para o mm fim no Opera, tendo em consideração q n existe Xmarks p esse browser e tendo em consideração a parceria das duas empresas?
Claro que é seguro, desde que se tenha uma master password decente e como já foi comentado anteriormente, é mais seguro que usar o gestor de password do brouwser (coisa que o Xmarks usa) e estamos menos sujeitos a keyloggers desde que se use um segundo factor de autenticação.
Por curiosidade, o Xmarks esteve para desaparecer e a Lastpass adquiriu a empresa não é um parceria.
Então e será que ao fazer login com a minha conta do Xmarks o LastPass vai ter as minhas passwords ou irei ter q instalar o LastPass no FF, mandar gravar as pw na conta e so dp usar o LP no Opera? (confuso?)
Que eu saiba o Xmarks não está integrado com o Lastpass e vice-versa… para todos os efeitos penso serem serviços distintos da mesma empresa.
O XMarks mantém sincronizados favoritos e password, mas as passwords ficam guardadas também no browser.
O Lastpass é apenas para guardar passwords e não usa o browser para as guardar (o que é mais seguro)
Se não existe o XMarks para o Opera, uma das opções será instalar o Lastpass no FF e a partir daí o wizzard do Lastpass trata de tudo.
Guardar as passes no browser, não tem nada a ver com keylogger’s.
Keylogger’s não precisam que guardes as passes no browser.
Não me expliquei bem… Usar o Lastpass é que é uma boa ideia pois não tens de digitar as passwords, logo evitando keyloggers… guardar as passwords no browser tem o mesmo efeito mas não é propriamente tão seguro.
Mais uma vez, parte do problema está entre o computador e a cadeira.
Muitos podem pensar: “Ah não, eu cá meto tudo à mão”. Pois é, mas para isso também existe a possibilidade de a maquina estar comprometida e ter um keylogger instalado. Enquanto que com o LastPass não existe esse problema.
Se todos usassem password robustas, mesmo que roubassem dados da Base de Dados(como se supõe que aconteceu), só iriam conseguir ter acesso à password encriptada. E felizmente os computadores não têm capacidade de processamento suficiente para quebrar um algoritmo criptográfico decente.
Nem mais!! Concordo plenamente!
Pelos vistos não é possível alterar a password mestre!
http://goo.gl/0W2qH
Mas alguém leu sobre o assunto, ou sabe sequer como é que o LastPass funciona??
1º Nem se sabe sequer que dados, ou tipos de dados, foram roubados. Podem ter sido passwords, mas também podem ter sido só usernames. Tudo o que se sabe é que houve volume de tráfego anómalo a sair de um dos servidores do lastpass.
2º O volume de tráfego registado era suficiente só para tirar dados de algumas centenas de utilizadores, num universo de 1 milhão.
3º Os dados roubados, se é que foram roubados, pertenciam a um servidor que contém o username e a password mestre (de acesso ao last pass) fortemente encriptada.
4º Essa password, se for uma password forte, e não uma palavra de dicionário, tipo “deus”, não há quase hipótese de crackar com bruteforce em tempo útil (mas tudo depende da password em questão claro).
5º Se for detectado um login por um endereço de ip nunca antes utilizado, a conta é automaticamente suspensa até que se confirme a identidade.
Posto isto, malta, relax.
Eu gostaria de utilizar um serviço deste género para guardar passwords,mas estou em duvidas entre o KeePass e o LastPass.
Qual destes serviços é mais seguro,e eu sei que não há nada 100% seguro:-).
No caso do LastPass não será inseguro manter as passwords em serviços de terceiros, em que não se sabe quem acede aos servidores, e não me refiro a esta situação em particular, mas sim até mesmo dentro da própria empresa!!
Eu sou utilizador deste serviço.
Queria mudar a master password mas até agora nada. Alguém já o consegui fazer?
Acabei de efetuar a troca e está tudo ok neste momento.
Vlw Pplware! \o/