Agosto trouxe más notícias para o LastPass e os seus utilizadores. Este serviço de gestão de passwords foi comprometido e parte do seu código roubado, num ataque que parecia ter deixado os utilizadores intocados.
Com o tempo, e com a avaliação desta situação em maior detalhe, mais informações foram surgindo. A cada nova atualização o cenário piorava e mais dados tinham sido acedidos. Agora, na mais recente, fica claro que o cenário é muito pior do que se poderia esperar.
Apesar de ser um serviço de que tem várias camadas de segurança implementadas, o LastPass tem estado demasiado exposto a problemas. São já várias as situações relatadas e que mostram que hackers e outros atacantes conseguiram roubar dados desta plataforma.
A mais recente, e uma das que mais impacto teve aconteceu em agosto, onde aparentemente tinha sido apenas roubado código e outros dados. Com essa informação foi possível aceder a outros serviços cloud que usam e onde tinham dados relevantes armazenados.
O atacante também conseguiu copiar um backup dos dados do cofre dos clientes do armazenamento cifrado, que é armazenado num formato binário proprietário que contém dados não cifrados, como URLs de sites, bem como campos confidenciais totalmente cifrados, como nomes de utilizadores de sites e palavras-passe, notas seguras e dados preenchidos em formulários.
Na mais recente atualização desta situação, foi agora explicado que afinal houve mesmo o roubo de dados dos utilizadores. Estes estavam no serviço cloud que foi acedido, embora estejam cifradas partes desta informação que foi extraída.
A boa notícia é que a chave mestra de acesso a esses dados está sempre na posse do utilizador e não nas mãos do LastPass ou sequer armazenada nos seus serviços. Todo o processo de acesso aos dados é realizado localmente nos dispositivos do utilizador.
No entanto, isso não significa que os dados estejam realmente inacessíveis aos atacantes. Estes podem tentar usar mecanismos de ataques de força bruta para determinar as chaves de cifra e assim aceder aos dados. Quanto maior a chave metra definida, mais tempo demorará aos atacantes para a descobrir.
Todas estes dados não deixam o LastPass bem visto aos olhos dos utilizadores. As informações têm mudado, o que revela a abertura da empresa face ao problema, mas é também a prova de que não existe ainda nenhuma certeza da dimensão deste roubo de dados.