LastPass: Afinal aconteceu ou não o roubo das passwords mestras dos utilizadores?

Mesmo tendo alterado recentemente o seu modelo de negócio, o LastPass é ainda uma das escolhas preferidas dos utilizadores. Este serviço está agora envolvido numa situação de segurança, em que muitos pensam que as suas passwords mestras foram comprometidas.

As queixas parecem acumular-se, mesmo que o LastPass negue que dados tenham sido roubados. Afinal o que se passa com este serviço e devem ou não os utilizadores estar preocupados com estes aparentes ataques.

A importância do LastPass, e outros serviços de gestão de passwords, é muito grande. Os utilizadores colocam aqui informações vitais e que não podem sair do seu controlo. A utilização de passwords mestras garante que este cenário acontece.

Passwords mestras usadas para atacar os utilizadores

É precisamente aqui que está (aparentemente) o novo problema do LastPass. Muitos utilizadores queixam-se que estão a receber notificações de tentativas de autenticação das suas contas, vindas de IPs de países diferentes do seu. Isto significa que há tentativas não autorizadas de acesso.

One theory is that all of our master passwords were breached a few years ago and someone just mass attempted to use them. The coincidence is rather strange (that's a lot of random people that got owned in the same way...?)

— Greg Technology (@technology_greg) December 27, 2021

O relato destes problemas terá sido iniciado com uma simples publicação no fórum Hacker News. Um utilizador reportou um alerta do LastPass para tentativas de acesso vindos do Brasil usando a sua password mestra. Vários utilizadores reportaram problemas iguais, mas também vindos de outros países.

LastPass nega problemas e aponta para outras causas

Com este problema a crescer e a ganhar uma visibilidade muito grande, a LastPass apressou-se a explicar a situação. Do que reportaram, estes supostos ataques estavam a ser feitos com dados aos utilizadores em fugas anteriores e não provinham do serviço.

UPDATE: To reiterate, we have no indication that #LastPass was breached or compromised.

Here’s how LastPass protects you and steps you can take to stay secure: https://t.co/gNNjx333ps pic.twitter.com/rcWSIo9Q1x

— LastPass (@LastPass) December 29, 2021

Mais tarde, e de forma surpreendente, a LastPass veio dar mais informações e alterou o seu discurso inicial face a este problema. Afinal, paste destes alertas que foram enviados erradamente, devido a erros que foram já resolvidos.

Fica assim por perceber se a origem destes problemas resultaram ou não do roubo de passwords mestras. A verdade é que os utilizadores podem facilmente proteger-se recorrendo à autenticação de 2 fatores, para assim não bastar a password que poderá estar comprometida.