LastPass é um gerenciador de senhas popular que sofreu mais do que seu quinhão de violações de dados. Agora surgiram informações sobre a última violação de dados do LastPass, relatada aqui por nosso próprio John Durso em dezembro: hacker do LastPass obtém dados do cofre
Aparentemente, o PC de um funcionário que trabalha em casa foi comprometido por meio de um vulnerabilidade em um media player de terceiros, que foi explorada para implantar um keylogger. Depois que o keylogger foi implantado, era apenas uma questão de tempo até que o funcionário fizesse login usando suas credenciais oficiais e, bingo… o hacker tinha tudo o que precisava para acessar o cofre corporativo do funcionário. A seguir, um trecho do relatório do LastPass:
O agente da ameaça teve como alvo o PC remoto de um engenheiro de DevOps sênior explorando software vulnerável de terceiros. O agente da ameaça aproveitou a vulnerabilidade para fornecer malware, ignorar os controles existentes e, por fim, obter acesso não autorizado aos backups na nuvem. Os dados acessados a partir desses backups incluíam dados de configuração do sistema, segredos de API, segredos de integração de terceiros e dados de clientes LastPass criptografados e não criptografados ~ <source>
Como já repeti várias vezes, para ser distribuído com sucesso, a maioria dos malwares requer algum tipo de ação inadvertida por parte do usuário e, em ambientes corporativos que envolvem vários computadores em rede operados por vários usuários, esse risco é elevado sem fim. Mesmo que o cofre do LastPass não tenha sido violado diretamente, é notável pensar que os funcionários remotos não são mais instruídos para evitar esses tipos de violações de terceiros. Na verdade, é inconcebível que o que é essencialmente um PC de trabalho, incluindo material altamente sensível, não seja mantido completamente separado dos próprios requisitos pessoais do funcionário.
LastPass afirmou que agora está no processo de fortalecer o DevOps segurança da rede doméstica do engenheiro. Embora esse seja certamente um passo na direção certa, certamente esses tipos de funcionários que trabalham em casa com informações confidenciais devem ser instruídos a manter dois PCs completamente separados-um APENAS para requisitos de trabalho e outro para uso pessoal.
O que os usuários do LastPass precisam fazer
Se você é um usuário do LastPass e já tomou medidas corretivas de acordo com Boletim do LastPass, tudo bem. No entanto, se você está descobrindo isso agora, precisa seguir o conselho de John Durso em seu artigo anterior:
Altere a senha mestre do LastPassAtive a autenticação multifator do LastPass se ela não estiver ativadaAltere todas as senhas críticas de sites (e-mail, instituições financeiras, cartões de crédito, etc.)
Fique seguro lá fora.
—