O LastPass é um dos gestores de passwords mais conhecidos e até dos mais usados na Internet. Mesmo com algumas mudanças importantes que foram feitas, não deixou de ser uma proposta segura e que muitos usam diariamente.
O serviço volta agora a estar debaixo de fogo, com mais um problema grave de segurança. Esta é a segunda vez num espaço curto de tempo e mais uma vez os dados dos utilizadores foram acedidos pelos atacantes.
Mais uma falha de segurança do LastPass
Foi em agosto que o LastPass teve problemas sérios de segurança. Um simples ataque deu acesso aos servidores da empresa, de onde se pensa que tinha sido roubado informação importante da empresa. Na altura ficou assente que não tinha havido roubo de dados de utilizadores.
Agora, meses depois, ficou claro que muito mais aconteceu nesse ataque. O LastPass voltou a ser atacado e desta vez sabe-se que dados dos utilizadores foram expostos. A empresa revelou que detetou “atividade incomum” num serviço de armazenamento cloud de terceiros, mas que as passwords presentes permanecem criptografadas e em segurança.
Sabe-se que os atacantes usaram as informações obtidas em agosto para aceder a “certos elementos” das informações dos clientes. O LastPass iniciou imediatamente uma investigação, tendo contratado a empresa de segurança Mandiant e as autoridades foram alertadas também.
Dados dos utilizadores expostos, sem passwords
A empresa está a trabalhar de forma intensiva para entender o alcance deste incidente e identificar que informações específicas foram acedidas. Garante também que enquanto esta avaliação acontece, os produtos e serviços LastPass continuam a funcionar sem qualquer limitação.
Ainda assim, o LastPass recomenda que seus utilizadores sigam as práticas recomendadas de instalação e configuração. Isso inclui várias medidas, entre elas a configuração da autenticação de dois fatores para acesso aos serviços desta plataforma.
O caso agora revelado não deixa o LastPass com uma imagem positiva. É mais um caso de problema de segurança que acontecem num curto período de tempo. Apesar das passwords não estarem a ser reveladas e acedidas, há a possibilidade de dados sensíveis serem acedidos e explorados.