… e pede a todos para mudarem a password mestra como medida preventiva.
O serviço LastPass é um dos melhores que existem na Internet quanto a tarefa é guardar password. Permite uma integração com todos os browsers do mercado e tem inclusive uma aplicação para Windows. Conseguimos ter na nuvem, de forma segura, todas as nossas passwords e acedemos-lhe facilmente. Cientes da informação que têm do seu lado, os gestores deste serviço estão constantemente a monitorizar tudo o que se passa no seu serviço e nas máquinas que o prestam.
Na passada quarta feira, e numa analise aos logs dos seus servidores, a LastPass detectou um fluxo anormal de tráfego num dos seus servidores. Segundo a LastPass, e porque não conseguiram identificar a causa desse tráfego anormal, houve provavelmente um ataque e é possível que tenha sido dado acesso a dados dos utilizadores.
Numa informação publicada no seu blog, a LastPass deu conhecimento aos seus utilizadores desta situação e recomendaram aos seus utilizadores que alterassem a palavra passe de acesso aos seus dados.
Detectaram inclusive trafego a ser direccionado da base dados para fora da rede em valores superiores aos anormais. O maior problema da LastPass neste processo foi o não conseguirem identificar a causa do pico de tráfego que foi detectado.
A informação divulgada indica que o volume de dados que foi retirado da base de dados deve corresponder aos endereços de email dos utilizadores, a chave de encriptação do servidor e as passwords cifradas. Não foi detectado que tenha sido retirada muita informação cifrada da base de dados, para além da indicada.
Como medida preventiva e assumindo que o serviço possa estar comprometido, foi decidido pela LastPass pedir aos utilizadores que alterassem de forma imediata as passwords. Os utilizadores que usem passwords fortes e não baseadas em palavras de dicionário não devem ser afectados.
Caso tenha existido a suspeita quebra de segurança e os dados tenham passado para mãos indevidas, o problema não deve ter efeito imediato. Nenhuma password foi disponibilizada em claro, segundo informações a LastPass, e graças à criptografia aplicada será necessário algum tempo para que estas sejam quebradas.
Apesar de não estar a ser pedido de forma activa que a password seja alterada, a LastPass recomenda esta acção. Caso o acesso a uma conta e aos dados se realize de um endereço IP que não esteja associado a esse utilizador, então essa alteração vai ser pedida e o acesso é inibido.
A tomada de posição da LastPass face ao sucedido é provavelmente excessiva, mas, tal como a empresa referiu, preferem tomar esta posição e forçar a alteração das palavras passe e evitar assim que surjam problemas para os muitos utilizadores do seu serviço.
Because we can’t account for this anomaly either, we’re going to be paranoid and assume the worst: that the data we stored in the database was somehow accessed.
We know roughly the amount of data transfered and that it’s big enough to have transfered people’s email addresses, the server salt and their salted password hashes from the database.
We also know that the amount of data taken isn’t remotely enough to have pulled many users encrypted data blobs.
Devido ao impacto que esta noticia está a ter em todos os utilizadores do serviço, estão a existir problemas nos servidores da LastPass e o acesso tem estado a apresentar alguns problemas. Foram já tomadas medidas com vista a minimizar este impacto e espera-se que nas próximas horas tudo esteja estabilizado.
Se são utilizadores deste serviço é recomendável que procedam à alteração da palavra passe de acesso ao serviço. Os vossos dados estão salvaguardados, fruto da criptografia aplicada e que garante que para ser quebrada seja necessário tempo e recursos computacionais.
A ser verdade, este é apenas mais um caso a engrossar a vasta lista de serviços que viram os seus dados serem roubados. A segurança, mesmo sendo forte e apertada, está sempre sujeita a quebras.
