Principais Pontos
- O LastPass enfrentou diversas brechas de segurança no passado, incluindo um incidente em 2015 que expôs e-mails de usuários e senhas mestras. Entretanto, grande parte dos usuários que utilizavam camadas extras de segurança provavelmente estavam protegidos contra essa invasão.
- Em 2021, o LastPass foi alvo de críticas após a descoberta de rastreadores de terceiros em seu aplicativo para Android, levantando preocupações sobre a privacidade dos usuários. A empresa respondeu, afirmando que os rastreadores eram utilizados para coletar dados de telemetria e que podiam ser desativados pelos usuários.
- Uma violação de dados significativa ocorreu em 2022, onde criminosos acessaram informações de clientes e cofres de usuários. Esta brecha resultou em consequências adicionais para o LastPass e sua empresa matriz, GoTo, incluindo o roubo de backups criptografados e evidências de acesso a uma chave de criptografia.
- Em resumo, apesar de o LastPass ser geralmente considerado um serviço seguro, os múltiplos incidentes de segurança levaram alguns usuários a optar por gerenciadores de senhas alternativos que não sofreram comprometimentos.
Muitas pessoas utilizam gerenciadores de senhas para garantir a proteção de seus dados, e o LastPass é uma das opções mais populares. Contudo, o LastPass foi afetado por diversas violações de dados, colocando em risco as informações confidenciais de seus usuários.
Portanto, quantas vezes o LastPass foi invadido e ele ainda é seguro para uso?
1. A Invasão do LastPass em 2015
Crédito da imagem: Ervins Strauhmanis/Flickr
A primeira invasão do LastPass ocorreu em junho de 2015, sete anos após a fundação da empresa. Essa grave brecha expôs os e-mails e senhas mestras dos usuários, além das dicas ou palavras usadas para auxiliar na lembrança das senhas mestras. A invasão foi detectada quando o LastPass percebeu atividades suspeitas em sua rede, que foram prontamente bloqueadas. No entanto, parte do dano já havia sido causado.
Em uma comunicação aos clientes (disponível no Internet Archive), o LastPass informou que aqueles que adotaram camadas adicionais de segurança, como hashing e salting em suas senhas, provavelmente estavam protegidos contra a invasão. Felizmente, a maioria dos usuários do LastPass empregava esses métodos de segurança, o que minimizou o número de clientes afetados.
O LastPass também afirmou que não acreditava que nenhuma conta de usuário tivesse sido acessada em decorrência do ataque, mas orientou os usuários a verificar seus endereços de e-mail e renovar ou utilizar senhas mestras de forma recorrente para reforçar a segurança.
Algumas semanas após o incidente, o LastPass publicou uma nota em seu blog, informando que sua segurança havia sido aprimorada após a invasão, com uma série de alterações para proteger seus clientes. Dentre essas mudanças, estava a implementação de Módulos de Segurança de Hardware (HSMs), que protegem a infraestrutura criptográfica do LastPass.
2. O Incidente de Rastreamento do LastPass em 2021
Embora o LastPass não tenha sofrido uma invasão em 2021, a empresa se viu em meio a uma controvérsia quando foi descoberto que seu aplicativo para Android continha rastreadores de terceiros. Em fevereiro de 2021, um aplicativo de análise de segurança chamado Exodus Privacy revelou ter identificado sete rastreadores no aplicativo LastPass para Android, causando preocupação entre os usuários. O pesquisador de segurança Mike Kuketz abordou a descoberta em uma postagem em seu blog sobre segurança de TI, afirmando que “a integração [de anúncios e rastreadores] em aplicativos gerenciadores de senhas é inaceitável.”
Kuketz também listou os sete rastreadores encontrados no aplicativo LastPass para Android, que incluíam rastreadores do Google Analytics, Segment e AppsFlyer. A concessão de acesso a plataformas de análise de marketing dessa forma foi criticada por Kuketz, que considerou a abordagem do LastPass “extremamente questionável em termos de segurança”.
Kuketz enfatizou que o aplicativo LastPass para Android precisava ser verificado manualmente para determinar se os rastreadores estavam monitorando ativamente os usuários. A mera presença dos rastreadores, no entanto, foi considerada por Kuketz como uma prática inadequada para um aplicativo que deve priorizar a segurança.
Em resposta às críticas, o LastPass informou a seus usuários que utiliza ferramentas analíticas para obter informações sobre “dados de telemetria de aplicativos, dados de relatórios de erros e falhas, além de informações estatísticas de uso de alto nível, com o objetivo de melhorar o desempenho geral, a confiabilidade e a usabilidade do aplicativo”.
A empresa também declarou que o elemento analítico do aplicativo LastPass era um recurso opcional, que podia ser desativado pelos usuários em suas configurações avançadas. Apesar disso, a presença de rastreadores no aplicativo LastPass para Android gerou insatisfação entre analistas de segurança e usuários.
3. As Violações do LastPass em 2022
Após o incidente de 2015, levou algum tempo para o LastPass ser alvo de outro ataque cibernético. No entanto, em 2022, um novo ataque se concretizou. Este foi um ano particularmente desafiador para o LastPass, com uma invasão inicial em agosto causando repercussões que continuariam em 2023.
No início de agosto de 2022, o LastPass detectou uma violação em que um invasor comprometeu o laptop de um desenvolvedor da empresa para roubar código-fonte e acessar a plataforma de desenvolvimento em nuvem da empresa. O invasor conseguiu contornar a autenticação multifator na conta do engenheiro, autenticando-se com sucesso como usuário. Apesar de ser um incidente preocupante, o invasor não obteve acesso às informações de clientes.
Entretanto, alguns meses depois, a situação se agravou. Em dezembro de 2022, o LastPass anunciou que a invasão de agosto permitiu que os criminosos acessassem áreas mais sensíveis de sua infraestrutura, que foram exploradas pela primeira vez em novembro. Desta vez, os invasores acessaram dados de clientes do LastPass, incluindo e-mails, endereços IP, números de telefone e nomes. Além disso, certos tipos de dados de cofres de usuários foram expostos, incluindo nomes de usuário e senhas armazenadas para contas online.
Consequentemente, o LastPass enfrentava uma situação delicada, e os problemas não se limitariam a 2023.
As Consequências de 2023
Apesar de 2023 não trazer novas invasões ao LastPass, o ano trouxe mais informações preocupantes sobre as explorações de 2022.
Em janeiro de 2023, a empresa controladora do LastPass, GoTo, divulgou um comunicado sobre as consequências das invasões de 2022. A declaração da GoTo explicou que vários outros serviços da empresa, incluindo Central, Hamachi, Pro, join.me e RemotelyAnywhere, também foram alvos de invasores por meio de um dispositivo de armazenamento em nuvem de terceiros. Desse dispositivo, os invasores roubaram backups criptografados. Além disso, a GoTo revelou que encontrou evidências sugerindo que uma chave de criptografia para alguns dos backups roubados também foi acessada.
Em fevereiro de 2023, o LastPass voltou às manchetes quando foi revelado que, entre a primeira e a segunda invasão de 2022, os invasores realizaram mais ações maliciosas.
Como documentado na postagem X acima, os invasores de novembro de 2022 comprometeram o computador pessoal de um desenvolvedor sênior do LastPass por meio de uma vulnerabilidade em um software. Após invadir o computador, os invasores instalaram um keylogger, permitindo que visualizassem o que o desenvolvedor digitava no teclado.
Isso deu aos invasores acesso à senha mestra do cofre corporativo do LastPass do desenvolvedor, permitindo que acessassem o próprio cofre. O que é surpreendente aqui é que apenas quatro desenvolvedores seniores do LastPass tinham acesso ao cofre corporativo, e os invasores ainda conseguiram atingir um desses desenvolvedores com sucesso.
Os invasores também utilizaram as credenciais de usuário roubadas em 2022 para roubar US$ 4,4 milhões em criptomoedas em outubro de 2023. Acredita-se que os invasores acessaram frases-semente e chaves de carteiras criptográficas na segunda violação de 2022, permitindo-lhes invadir carteiras e transferir as criptomoedas para o endereço desejado.
O LastPass possui uma lista completa dos dados que foram acessados nas invasões de 2022, caso você queira verificar tudo o que foi exposto em decorrência dos incidentes.
O LastPass ainda é Seguro para Utilização?
Embora o LastPass esteja em operação desde 2008, a maioria das invasões de dados e incidentes de segurança ocorreram na década de 2020. Dados os diversos problemas de segurança anteriores, é natural ficar um pouco apreensivo ao usar o LastPass. Qual é o veredito? O LastPass é seguro para uso ou é melhor optar por uma alternativa?
Embora seja mais seguro usar o LastPass do que um simples aplicativo de notas ou opção de armazenamento semelhante, atualmente existem gerenciadores de senhas mais confiáveis. Com tantos problemas em seu histórico de segurança, o LastPass tornou-se uma opção inviável para muitos, já que não se sabe quando ocorrerá outra violação. Com 2022 causando tantos problemas para o LastPass e seus usuários, não é surpreendente que alguns usuários tenham desistido, optando por gerenciadores de senhas que ainda não foram invadidos.
Dashlane e NordPass são apenas dois exemplos de gerenciadores de senhas confiáveis que nunca sofreram uma violação de segurança, demonstrando que é possível encontrar um gerenciador de senhas que não tenha exposto seus dados de clientes ou portais de funcionários a invasores.
Se você estiver usando o LastPass, mas quiser mudar para outra opção, confira nosso guia sobre como excluir sua conta do LastPass. Também temos um guia prático sobre os gerenciadores de senhas mais seguros, caso precise de ajuda para escolher um substituto.
No entanto, os incidentes de segurança do LastPass não o transformam em um gerenciador de senhas inseguro. O aplicativo ainda possui muitos recursos úteis para proteger credenciais confidenciais e é fácil de usar, independentemente do conhecimento técnico.
O LastPass Não é o Melhor Gerenciador de Senhas
Não há nada de errado em usar o LastPass para armazenar senhas, pois o aplicativo é geralmente bastante seguro. No entanto, vale a pena considerar as alternativas superseguras disponíveis, caso você queira garantir que suas informações confidenciais sejam armazenadas da maneira mais eficaz possível.