Quantas vezes o LastPass foi hackeado e ainda é seguro usá-lo?

Principais conclusões

  • O LastPass sofreu diversas violações de dados no passado, incluindo uma em 2015 que expôs e-mails de usuários e senhas mestras. No entanto, a maioria dos usuários que empregaram camadas extras de segurança provavelmente estavam protegidos contra a violação.
  • O LastPass enfrentou críticas em 2021, quando foi descoberto que seu aplicativo Android continha rastreadores de terceiros, levantando preocupações sobre segurança. O LastPass respondeu afirmando que os rastreadores eram usados ​​para telemetria de aplicativos e poderiam ser desativados pelos usuários.
  • O LastPass sofreu uma violação significativa em 2022, onde os invasores acessaram dados de clientes e informações de cofres de usuários. Essa violação levou a outras consequências para o LastPass e sua empresa-mãe, GoTo, incluindo backups criptografados roubados e evidências de uma chave de criptografia acessada.
  • No geral, embora o LastPass seja geralmente considerado seguro, as múltiplas violações e incidentes de segurança levaram alguns usuários a procurar gerenciadores de senhas alternativos que não tenham sido comprometidos.

Muitos de nós usamos gerenciadores de senhas para manter nossos dados privados seguros, sendo o LastPass uma das opções mais populares que existem. Mas o LastPass sofreu seu quinhão de violações de dados, colocando em risco as informações confidenciais dos clientes.

Então, quantas vezes o LastPass foi hackeado e ainda é seguro para uso?

1. Violação do LastPass 2015

Crédito da imagem: Ervins Strauhmanis/Flickr

O primeiro hack do LastPass ocorreu em junho de 2015, sete anos após a fundação da empresa. Essa violação grave expôs os e-mails e as senhas mestras dos usuários do LastPass, bem como as dicas ou palavras de lembrete usadas para lembrar as senhas mestras. O hack foi percebido quando o LastPass detectou atividades suspeitas na rede, que logo foram bloqueadas. No entanto, alguns danos já haviam sido causados.

Em um nota agora expirada para clientes (disponível através do Internet Archive), o LastPass informou aos usuários que aqueles que usaram camadas extras de segurança, como hashing e salting em suas senhas, provavelmente estavam protegidos contra hackers. Felizmente, a maioria dos usuários do LastPass emprega esses métodos de segurança, o que significa que apenas uma pequena parcela dos clientes tinha chance de ser afetada.

O LastPass também afirmou que não acredita que nenhuma conta de usuário tenha sido acessada devido ao ataque, mas pediu aos usuários que verificassem seus endereços de e-mail e os renovassem a qualquer semana ou usassem senhas mestras repetidamente para aumentar a segurança.

Algumas semanas depois do hack, LastPass publicou uma postagem no blog afirmando que sua segurança melhorou desde o hack, com uma série de pequenas e grandes mudanças sendo feitas para proteger ainda mais os clientes. Incluída nessas mudanças estava a introdução de Módulos de Segurança de Hardware (HSMs), que protegem a infraestrutura criptográfica do LastPass.

2. Incidente de rastreamento do LastPass 2021

Embora o LastPass não tenha sido hackeado em 2021, ele teve problemas quando foi descoberto que seu aplicativo Android continha rastreadores de terceiros. Em fevereiro de 2021, um aplicativo de análise de segurança chamado Exodus Privacy revelou que havia encontrado sete rastreadores no aplicativo LastPass para Android, levantando suspeitas entre os usuários. O pesquisador de segurança Mike Kuketz comentou a descoberta em um Postagem do blog sobre segurança de TI da Kuketzafirmando que “está completamente fora de questão integrar [ads and trackers] em aplicativos gerenciadores de senhas.”

Kuketz também listou os sete rastreadores encontrados no aplicativo LastPass para Android, que incluía rastreadores do Google Analytics, Segment e AppsFlyer. Conceder acesso a plataformas de análise de marketing desta forma foi condenado por Kuketz, que escreveu que a abordagem do LastPass é “extremamente questionável em termos de segurança”.

Kuketz sublinhou que o aplicativo LastPass para Android precisava ser verificado manualmente para discernir se os rastreadores estavam monitorando ativamente os usuários. A presença apenas dos rastreadores, no entanto, foi considerada por Kuketz como uma má prática para um aplicativo que precisa priorizar a segurança.

Em resposta a esta crítica, Usuários informados do LastPass que ele usa ferramentas analíticas. LastPass enfatizou que isso foi feito para obter insights sobre “dados de telemetria de aplicativos, dados de relatórios de erros e falhas, bem como informações estatísticas de uso de alto nível para, em última análise, melhorar o desempenho geral, a confiabilidade e a usabilidade do [the app].”

Também foi declarado que o elemento analítico do aplicativo LastPass era um recurso opcional que os usuários poderiam desativar em suas configurações avançadas. Mas independente disso, a presença de rastreadores no aplicativo LastPass para Android deixou um gosto ruim na boca de analistas de segurança e usuários.

3. Violações do LastPass 2022

Demorou algum tempo para o LastPass sofrer outro ataque cibernético após o incidente inicial de 2015. Mas em 2022, outro ataque realmente ocorreu. Este foi um ano particularmente difícil para o LastPass, com um hack inicial em agosto causando ondas de choque que continuariam em 2023.

No início de agosto de 2022, o LastPass tomou conhecimento de uma violação em que um hacker comprometeu o laptop de um desenvolvedor LastPass para roubar código-fonte e acessar a plataforma de desenvolvimento baseada em nuvem da empresa. O hacker contornou a segurança da autenticação multifator na conta do engenheiro, autenticando-se com sucesso como usuário. Embora este tenha sido um incidente muito preocupante, o hacker não recuperou nenhuma informação do cliente.

Mas alguns meses depois, as coisas pioraram. Em dezembro de 2022, o LastPass anunciou que o hack de agosto deu aos invasores um caminho para áreas mais sensíveis de sua infraestrutura, exploradas pela primeira vez em novembro. Desta vez, os hackers acessaram dados de clientes LastPass, incluindo e-mail e endereços IP, números de telefone e nomes. Além disso, certos tipos de dados de cofres de usuários foram expostos, incluindo nomes de usuários e senhas armazenados para contas online.

Escusado será dizer que o LastPass estava agora em maus lençóis e as coisas não iriam parar em 2023.

Os efeitos posteriores de 2023

Embora 2023 não tenha trazido novos hacks para o LastPass, trouxe cada vez mais informações perturbadoras sobre as explorações de 2022.

Em janeiro de 2023, a empresa-mãe do LastPass, GoTo, divulgou um comunicado sobre as consequências dos hacks de 2022. Declaração de GoTo explicou que vários outros serviços da empresa, incluindo Central, Hamachi, Pro, join.me e RemotelyAnywhere, também foram alvo de invasores por meio de um dispositivo de armazenamento em nuvem de terceiros. Deste dispositivo, os invasores roubaram backups criptografados. Além do mais, GoTo revelou que encontrou evidências sugerindo que uma chave de criptografia para alguns dos backups roubados também foi acessada.

Em fevereiro de 2023, o LastPass voltou às manchetes quando foi revelado que, entre o primeiro e o segundo hacks de 2022, mais ações maliciosas foram realizadas pelos invasores.

Conforme documentado na postagem X acima, os hackers de novembro de 2022 comprometeram o computador doméstico de um desenvolvedor sênior do LastPass por meio de uma vulnerabilidade de mídia de software. Depois de invadir o computador, os hackers instalaram um keylogger, permitindo-lhes visualizar o que o desenvolvedor estava digitando no teclado.

Isso deu aos invasores acesso à senha mestra do cofre corporativo LastPass do desenvolvedor, permitindo que os invasores acessassem o próprio cofre. O que é chocante aqui é que apenas quatro desenvolvedores seniores do LastPass tiveram acesso ao cofre corporativo, e os invasores ainda conseguiram atingir com sucesso um desses desenvolvedores.

Os hackers também usaram as credenciais do usuário roubadas em 2022 para roubar US$ 4,4 milhões em criptomoedas em outubro de 2023. Acredita-se que os invasores acessaram frases-semente e chaves de carteiras criptográficas na segunda violação de 2022, permitindo-lhes invadir carteiras e retirar criptografia para o local desejado. endereço.

LastPass tem um lista completa de dados acessados ​​nos hacks de 2022 se você quiser ver tudo o que foi exposto devido aos incidentes de 2022.

O LastPass ainda é seguro para uso?

Embora o LastPass esteja em serviço desde 2008, a maioria das violações de dados e incidentes de segurança ocorreram na década de 2020. Dados os vários problemas de segurança anteriores, é natural ficar um pouco nervoso ao usar o LastPass, então qual é o veredicto aqui? O LastPass é seguro para uso ou você deve optar por outra coisa?

Embora seja mais seguro usar o LastPass do que um simples aplicativo de notas ou opção de armazenamento semelhante, pode haver gerenciadores de senhas melhores por aí hoje. Com tantos problemas em seu histórico de segurança, o LastPass tornou-se impossível para muitos, pois não se sabe quando ocorrerá outra violação. Com 2022 causando tantos problemas para o LastPass e seus usuários, não é surpresa que alguns usuários tenham abandonado o barco, optando por gerenciadores de senhas que ainda não foram hackeados.

Dashlane e NordPass são apenas dois exemplos de gerenciadores de senhas altamente confiáveis ​​que nunca sofreram uma violação de segurança, então é certamente possível encontrar um gerenciador de senhas que não tenha tido seus dados de clientes ou portais de funcionários expostos a hackers.

Se você estiver usando o LastPass, mas quiser ir para outro lugar, confira nosso guia sobre como excluir sua conta LastPass. Também temos um guia prático sobre os gerenciadores de senhas mais seguros, se precisar de ajuda para escolher um substituto.

No entanto, os incidentes de segurança do LastPass não o tornam um gerenciador de senhas inseguro. O aplicativo ainda possui muitos recursos úteis para proteger credenciais confidenciais e é fácil de usar, independentemente do conhecimento técnico.

LastPass não é o rei do gerenciamento de senhas

Não há nada de errado em usar o LastPass para armazenar senhas, pois o aplicativo geralmente é bastante seguro. No entanto, vale a pena observar as alternativas superseguras disponíveis se você quiser garantir que suas informações confidenciais sejam armazenadas da maneira mais eficaz possível.