O Escritório do Comissário de Informações do Reino Unido (ICO) multou a empresa de gerenciamento de senhas LastPass em £1,2 milhão por não implementar medidas de segurança que permitiram a um atacante roubar informações pessoais e cofres de senhas criptografadas pertencentes a até 1,6 milhão de usuários do Reino Unido em uma violação de 2022.
Segundo a ICO, o incidente decorreu a partir de duas violações interconectadas iniciadas em agosto de 2022.
A primeira violação ocorreu em agosto de 2022, quando um hacker comprometeu o laptop de um funcionário da LastPass e acessou partes do ambiente de desenvolvimento da empresa.
Embora nenhum dado pessoal tenha sido retirado durante esse incidente, o atacante conseguiu obter o código-fonte da empresa, informações técnicas proprietárias e credenciais criptografadas da empresa. Inicialmente, a LastPass acreditava que a violação estava contida porque as chaves de descriptografia dessas credenciais estavam armazenadas separadamente nos cofres de quatro funcionários seniores.
No entanto, no dia seguinte, o atacante mirou em um desses funcionários seniores explorando uma vulnerabilidade conhecida em um aplicativo de streaming de terceiros, acredita-se que seja Plex, que foi instalado no dispositivo pessoal do funcionário.
Esse acesso permitiu ao hacker implantar malware, capturar a senha-mestra do funcionário usando um keylogger e burlar a autenticação multifator usando um cookie já autenticado por MFA.
Como o funcionário usou a mesma senha mestra tanto para os cofres pessoais quanto para os empresariais, o atacante conseguiu acessar o cofre empresarial e roube uma chave de acesso da Amazon Web Services e uma chave de descriptografia.
Essas chaves, combinadas com as informações previamente roubadas, permitiram que os atacantes Breach a empresa de armazenamento em nuvem GoTo e roubar backups do banco de dados do LastPass armazenado na plataforma.
Dados de clientes roubados em violação
Informações pessoais armazenadas no banco de dados roubado incluíam Cofres de senhas criptografadas, nomes, endereços de e-mail, números de telefone e URLs de sites associados a contas de clientes.
“O agente ameaçador copiou informações de backup que continham informações básicas das contas do cliente e metadados relacionados, incluindo nomes de empresas, nomes de usuários finais, endereços de faturamento, endereços de e-mail, números de telefone e os endereços IP dos quais os clientes acessavam o serviço LastPass”, explicou o CEO da LastPass, Karim Toubba, na época.
“O ator ameaçador também conseguiu copiar um backup dos dados do cofre do cliente a partir do contêiner de armazenamento criptografado, que é armazenado em um formato binário proprietário que contém tanto dados não criptografados, como URLs de sites, quanto campos sensíveis totalmente criptografados, como nomes de usuário e senhas de sites, notas seguras e dados preenchidos em formulários.”
A ICO alegou que o atacante não descriptografou os cofres de senhas dos clientes, já que a “arquitetura Zero Knowledge” da LastPass não conhece nem armazena as senhas-mestra usadas para descriptografar cofres, e elas são conhecidas apenas pelos clientes.
No entanto, a LastPass já havia alertado anteriormente que a segurança dos cofres criptografados dependia da força da senha-mestra do cliente, aconselhando que senhas mais fracas fossem resetadas.
“Dependendo do comprimento e complexidade da sua senha mestra e da configuração de contagem de iterações, talvez seja melhor redefinir sua senha mestra”, lê umBoletim de suporte ao LastPass sobre o ciberataque.
Isso porque ataques brutos movidos por GPU podem quebrar senhas mestras fracas usadas para criptografar cofres, permitindo que atores ameaçadores tenham acesso a eles.
Alguns pesquisadores Afirme que isso já aconteceu, afirmando que suas pesquisas indicam que cofres da LastPass com senhas fracas foram descriptografados para realizar ataques de roubo de criptomoedas.
Dicas de segurança de senha
O Comissário de Informações, John Edwards, disse que, embora os gerenciadores de senhas continuem sendo uma ferramenta crítica para a segurança, as empresas que oferecem esses serviços devem garantir que os controles de acesso e os sistemas internos sejam reforçados contra ataques direcionados.
Ele enfatizou que os clientes da LastPass tinham uma expectativa razoável de que suas informações pessoais seriam protegidas e que a empresa não cumpriu essa obrigação, levando à penalidade anunciada hoje.
A ICO incentiva as organizações a revisarem seus Segurança do dispositivo, Riscos no trabalho remoto, e restrições de acesso.
Os clientes também devem garantir que estão usando senhas fortes e complexas, que o LastPass recomenda ter pelo menos 12 caracteres e incluir letras maiúsculas e minúsculas, números, símbolos e caracteres especiais.
No entanto, em ataques como esses, onde podem ocorrer aumento do poder computacional e quebras offline, é mais seguro usar uma senha mestra de pelo menos 16 caracteres [1, 2] ou uma frase de acesso longa com várias palavras para proteger informações altamente sensíveis, como cofres de senha.
Após publicar esta matéria, a LastPass compartilhou a seguinte declaração com a BleepingComputer.
“Estamos cooperando com a ICO do Reino Unido desde que relatamos esse incidente pela primeira vez em 2022”, disse a LastPass BleepingComputer.com.
“Embora estejamos desapontados com o resultado, ficamos satisfeitos em ver que a decisão da ICO reconheceu muitos dos esforços que já realizamos para fortalecer ainda mais nossa plataforma e aprimorar nossas medidas de segurança de dados.”
“Nosso foco continua em oferecer o melhor serviço possível para as 100.000 empresas e milhões de consumidores individuais que continuam a depender do LastPass.”
Destrua silos de IAM como Bitpanda, KnowBe4 e PathAI
Um IAM quebrado não é apenas um problema de TI – o impacto se espalha por toda a sua empresa.
Este guia prático aborda por que as práticas tradicionais de IAM não acompanham as demandas modernas, exemplos de como é um “bom” IAM e uma lista simples para construir uma estratégia escalável.