Anúncios
Lembra-se da enorme violação de segurança do LastPass que LassPass detalhou na quinta-feira antes do Natal? Aquele em que os hackers conseguiram roubar um backup contendo dados do cofre do cliente que incluíam dados criptografados e não criptografados? Na época, o LastPass tentou garantir aos clientes que seus dados estavam seguros e que os invasores poderiam levar um milhão de anos para entrar nas contas dos usuários.
Cerca de um ano após o início do ataque original ao LastPass, especialistas em segurança vincularam roubos de criptografia direcionados a mais de 150 pessoas à violação do LastPass. E os hackers conseguiram roubar mais de US$ 35 milhões em criptografia depois de aparentemente obter acesso aos cofres do LastPass.
Anúncios
Se não ficou claro em dezembro, você deve alterar todas as suas senhas armazenadas no LastPass e garantir que suas contas não foram comprometidas. Provavelmente também é uma boa ideia trocar o LastPass pelo 1Password ou Proton Pass, não importa quanto tempo demore o processo.
A ligação entre LastPass e roubos de criptografia
Não há provas definitivas de que a violação de segurança do LastPass esteja ligada aos US$ 35 milhões acumulados em roubos de criptomoedas. E o LastPass provavelmente não reconheceria isso de qualquer maneira.
Mas os pesquisadores de segurança que investigam recentes roubos de criptomoedas parecem acreditar que essa é a única coisa que faz sentido. Eles acreditam que os hackers roubaram as frases-semente exclusivas de 12 palavras que protegem as carteiras criptográficas das contas LastPass depois de quebrar a senha mestra de cada cofre.
Blog de segurança popular KrebsOnSecurity tem um resumo muito detalhado de eventos que explicam como os hackers aparentemente conseguiram quebrar os cofres do LastPass, apesar de sua criptografia.
O blog explica que o gerente de produto líder da MetaMask, Taylor Monahan, foi o primeiro a vincular os roubos de criptografia à violação do LastPass. Ela explicou que as vítimas não eram os usuários comuns da Internet que reciclavam senhas fracas em seus serviços.
“O perfil da vítima continua sendo o mais impressionante”, escreveu Monahan. ‘Eles realmente estão todos razoavelmente seguros. Eles também estão profundamente integrados a este ecossistema, (incluindo) funcionários de organizações criptográficas respeitáveis, VCs (capitalistas de risco), pessoas que construíram protocolos DeFi, implantam contratos, executam nós completos.’
Monahan concluiu no final de agosto que o único ponto em comum era o uso do LastPass para proteger as frases-semente.
Os roubos de criptografia
Os hackers obtiveram essas frases-semente que abriram suas carteiras criptografadas. Foi assim que roubaram os fundos criptográficos, que podem ser irrecuperáveis na maioria dos casos. KrebsOnSecurity conduziu uma entrevista com uma vítima, que explicou por que armazenou a frase-semente em um gerenciador de senhas em vez de em um pedaço de papel:
“Na época, pensei que o maior risco seria perder um pedaço de papel com minha frase-semente”, disse Connor. ‘Eu tinha isso em um cofre de banco antes disso, mas então comecei a pensar:’ Ei, o banco pode fechar ou pegar fogo e eu posso perder minha frase-semente.
O anônimo Connor perdeu US$ 3,4 milhões em criptografia em 27 de agosto de 2023. Isso foi quase um ano depois que os hackers perseguiram o LastPass. Ele armazenou as frases-semente por anos em sua conta LastPass antes disso. Ele conseguiu recuperar US$ 1,5 milhão disso.
Aqui está o que escrevi em dezembro, quando o LastPass lançou aquela atualização tardia de Natal sobre os hacks de agosto de 2022 e novembro de 2022:
Agorana quinta-feira antes do Natal, o LastPass emitiu um aviso sobre um recente incidente de segurança em que hackers roubaram uma cópia de “um backup dos dados do cofre do cliente do contêiner de armazenamento criptografado que é armazenado em um formato binário proprietário que contém dados não criptografados, como site URLs, bem como campos confidenciais totalmente criptografados, como nomes de usuário e senhas de sites, notas seguras e dados preenchidos em formulários.”
Não há motivo para pânico, o LastPass parece indicar. Mas você também deveria.
Como eles podem ter hackeado sua conta LastPass
Na época, o LastPass também disse que levaria milhões de anos para adivinhar a senha mestra de alguém, que protege todas as outras senhas que você protegeu em seu cofre. Novamente, aqui está o que eu disse:
O LastPass também observa que desde 2018 implementou novos recursos de segurança, incluindo “um algoritmo de fortalecimento de senha mais forte que torna difícil adivinhar sua senha mestra”.
Com essas configurações padrão em vigor, “levaria milhões de anos para adivinhar sua senha mestra usando a tecnologia de quebra de senha geralmente disponível”. O LastPass afirma que não há ações recomendadas que os clientes devam realizar neste momento se o acima exposto se aplicar à sua conta.
Mas você corre risco se sua conta não usar esses padrões. O LastPass aconselha os usuários a minimizar o risco ‘alterando as senhas dos sites que você armazenou’. Cada site. Antes do natal.
Então, como os hackers poderiam invadir contas pertencentes a mais de 150 pessoas? Eles forçaram a entrada neles. Isso ocorre porque o LastPass não tinha práticas de segurança uniformes e atualizadas para todos eles. Algo que os hackers provavelmente sabiam.
KrebsOnSecurity explica que os hackers estavam trabalhando offline, com acesso direto a esses cofres criptografados:
LastPass sempre enfatizou que se você perder essa senha mestra, isso é uma pena porque eles não a armazenam e sua criptografia é tão forte que nem eles podem ajudá-lo a recuperá-la.
Mas os especialistas dizem que todas as apostas serão canceladas quando os cibercriminosos conseguirem colocar as mãos nos próprios dados criptografados do cofre – em vez de ter que interagir com o LastPass por meio de seu site. Esses chamados ataques “offline” permitem que os bandidos realizem tentativas ilimitadas e irrestritas de quebra de senhas de “força bruta” contra dados criptografados, usando computadores poderosos que podem, cada um, tentar adivinhar milhões de senhas por segundo.
Com poder computacional suficiente, eles poderiam ter hackeado até mesmo as contas LastPass mais seguras. Quando as vítimas descobriram a criptografia, já era tarde demais.
LastPass se recusou a fazer comentários KrebsOnSecuritycitando a investigação em andamento e o litígio pendente.
O que você deve fazer agora?
Se os clientes LastPass tivessem mudado TODOS suas senhas de contas em dezembro, incluindo a migração de criptomoedas para novas carteiras, eles estariam seguros agora. Pelo menos 150 pessoas não o fizeram. E com a ofuscação no mundo criptográfico, provavelmente é impossível dizer o quão massivo é o roubo criptográfico.
Será interessante ver se alguém consegue estabelecer uma ligação clara entre o LastPass e os roubos de criptografia. E se o LastPass será responsabilizado.
Até lá, repetirei o que disse em dezembro:
Se você é um cliente do LastPass e acabou de ouvir falar de hackers que podem roubar suas senhas criptografadas, você deve fazer pelo menos uma coisa. Encontre a hora de mudar todos suas senhas (mestre incluída) e preste atenção extra às informações do cartão de crédito e às informações armazenadas em notas.
Eu daria um passo adiante. Eu transferiria todas as minhas senhas para um gerenciador diferente e abandonaria minha assinatura do LastPass. Mesmo que os hackers precisem de um milhão de anos para invadir meu cofre.
Se essas descobertas de segurança forem verdadeiras e você nunca alterou suas senhas, os hackers podem já ter violado sua conta LastPass. Mas se você não tiver chaves criptográficas nele, eles podem ter ignorado todo o resto até agora. Isso não significa que coisas mais nefastas não possam acontecer no futuro.
Enquanto você está nisso, certifique-se de ler KrebsOnSecurity relatório completo para entender como o LastPass pode ter falhado com você.