23°C 16°/ 24°
Internet

LastPass volta a ver a segurança comprometida e dados dos utilizadores são expostos

17 Comentários

O LastPass é um dos gestores de passwords mais conhecidos e até dos mais usados na Internet. Mesmo com algumas mudanças importantes que foram feitas, não deixou de ser uma proposta segura e que muitos usam diariamente.

O serviço volta agora a estar debaixo de fogo, com mais um problema grave de segurança. Esta é a segunda vez num espaço curto de tempo e mais uma vez os dados dos utilizadores foram acedidos pelos atacantes.

LastPass segurança dados utilizadores passwords


Mais uma falha de segurança do LastPass

Foi em agosto que o LastPass teve problemas sérios de segurança. Um simples ataque deu acesso aos servidores da empresa, de onde se pensa que tinha sido roubado informação importante da empresa. Na altura ficou assente que não tinha havido roubo de dados de utilizadores.

Agora, meses depois, ficou claro que muito mais aconteceu nesse ataque. O LastPass voltou a ser atacado e desta vez sabe-se que dados dos utilizadores foram expostos. A empresa revelou que detetou “atividade incomum” num serviço de armazenamento cloud de terceiros, mas que as passwords presentes permanecem criptografadas e em segurança.

Sabe-se que os atacantes usaram as informações obtidas em agosto para aceder a “certos elementos” das informações dos clientes. O LastPass iniciou imediatamente uma investigação, tendo contratado a empresa de segurança Mandiant e as autoridades foram alertadas também.

LastPass segurança dados utilizadores passwords

Dados dos utilizadores expostos, sem passwords

A empresa está a trabalhar de forma intensiva para entender o alcance deste incidente e identificar que informações específicas foram acedidas. Garante também que enquanto esta avaliação acontece, os produtos e serviços LastPass continuam a funcionar sem qualquer limitação.

Ainda assim, o LastPass recomenda que seus utilizadores sigam as práticas recomendadas de instalação e configuração. Isso inclui várias medidas, entre elas a configuração da autenticação de dois fatores para acesso aos serviços desta plataforma.

O caso agora revelado não deixa o LastPass com uma imagem positiva. É mais um caso de problema de segurança que acontecem num curto período de tempo. Apesar das passwords não estarem a ser reveladas e acedidas, há a possibilidade de dados sensíveis serem acedidos e explorados.

LastPass: Código fonte deste gestor de passwords foi roubado num ataque recente

Autor: Pedro Simões
Partilhar:
Tags:
dados lastpass passwords Segurança utilizadores
Elon Musk e Tim Cook já reuniram e resolveram o problema da app do Twitter na App Store
Artigo anterior

Elon Musk e Tim Cook já reuniram e resolveram o problema da app do Twitter na App Store
Tesla Semi: Foi finalmente entregue o primeiro camião elétrico aos seus clientes
Próximo artigo

Tesla Semi: Foi finalmente entregue o primeiro camião elétrico aos seus clientes
Também pode gostar
PUB

Comentários

17

Responder a Cancelar resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Leonel
    Leonel

    Este é que é bom, seguríssimo como se pode constatar.

    Responder
    1. Avatar de PTO
      PTO

      Não existe nenhum sistema 100% seguro.

      Responder
  2. Avatar de Hugo Nabais
    Hugo Nabais

    Mas quem é que vai depositar todas as suas passwords a terceiros… pela cloud?
    Ainda por cima depois de já se ter conhecido tantas vulnerabilidades!?

    Responder
    1. Avatar de PTO
      PTO

      As passwords não estão depositadas na cloud à disposição de quem as acede. Estão encriptadas com um sistema de encriptação avançado e só podem ser acedidas com a master password que apenas existe na posse do utilizador. A única coisa que os hackers podem fazer é usar brute force para tentar adivinhar qual a master password dos utilizadores. No caso da minha estão bem f*didos, tem 18 caracteres entre maiúsculas, minúsculas, números, caracteres especiais… demorariam uma porrada de anos a descobri-la.

      Agora quem tem master passwords da treta, esses sim, estão em grande risco e deveriam alterar a master password imediatamente.

      Responder
  3. Avatar de Sergio
    Sergio

    Já usei mas mudei quando deixaram de poder usar a aplicação no pc e telemóvel ao mesmo tempo.
    A nível pessoal uso o bit warden, e no trabalho uso o KeePass que é offline

    Responder
    1. Avatar de Luis Borges
      Luis Borges

      +1

      Responder
  4. Avatar de cs
    cs

    Os password managers não têm as passwords. No lado deles apenas está o “vault”, que é, em poucas palavras, apenas um ficheiro contendo as Passwords ENCRIPTADAS nos dispositivos dos utilizadores. Mesmo que os vaults sejam acedidos indevidamente, os atacantes não conseguem aceder ao interior do vault sem a master password, que NÃO está no server nem nunca circulou na internet. Se esta password for forte não há problema. E, não, a criptografia que eles usam não é reversível (nem pelas agências de 3 letras).

    Responder
  5. Avatar de gt
    gt

    Jornalismo sensacionalista:

    “It also noted that customers’ passwords have not been compromised and “remain safely encrypted due to LastPass’s Zero Knowledge architecture.”

    Responder
  6. Avatar de neopunk
    neopunk

    KeepassXC, gratuito, pode ser integrado no browser, existem Apps para Android (gratuita) e iOS (paga) compatíveis, backup da DB pode ser feito com qq serviço de Cloud storage.

    Talvez não seja o mais user friendly para N00bs mas com apoio de alguém mais entendido na configuração habituam-se.

    Responder
  7. Avatar de Samuel MGor
    Samuel MGor

    O uso o método mais seguro de sempre 😛 Um livro e caneta.

    Responder
    1. Avatar de Zé

      E escrever a password ao contrário ou de uma outra forma que só o dono sabe, é defesa certa mesmo que alguém apanhe o livro.

      Responder
      1. Avatar de Samuel MG
        Samuel MG

        Ninguém apanha o livro está tão bem escondido que eu as vezes tenho problemas em lhe aceder.

        Responder
  8. Avatar de Joao Ptt
    Joao Ptt

    Nunca gostei muito desta ideia de ter os dados de acesso acessíveis a terceiros desta forma.
    Quem garante que a empresa não tem mesmo acesso aos dados? Existem maneiras de obter os dados se a empresa quiser, só a fé de que a empresa vai fazer sempre a coisa certa é que mantêm os dados seguros… porque se a NSA tiver entregue um daqueles mandatos judiciais do tribunal das secretas lá dos EUA, a empresa teve de criar backdoors para eles terem acesso a tudo… e ao mesmo tempo têm de negar até à morte existir qualquer forma de eles obterem os dados sob pena de irem presos por desrespeito às ordem do tribunal. E quem diz a NSA diz qualquer hacker que descubra como aceder a esses dados aos quais a empresa poderá ter ou não acesso… mas que alguém que furte os dados como o Edward Joseph Snowden que trabalhava dentro da organização em uma parte que tinha acesso a tudo.

    Responder
    1. Avatar de PTO
      PTO

      Os dados de acesso não estão acessíveis a ninguém. Estão encriptados num ficheiro ao qual só pode aceder o utilizador com a master password, a qual apenas existe do lado do utilizador.

      Neste caso os hackers apenas conseguiram roubar os ficheiros encriptados mas não conseguem saber quais as passwords que estão dentro dos mesmos sem as master passwords.

      Podem tentar usar o sistema de Brute force para as tentar adivinhas mas para aquela contas que têm master password bem concebida e complexa, demorariam dezenas de anos a conseguir decobri-la. Agora, é claro que depois há queles totós que usam master passwords da treta, esses sim estão f*didos se não mudarem rapidamente as suas master passwords para algo de jeito.

      Responder
  9. Avatar de Hali
    Hali

    Estes “cofres” de passwords são uma mina de ouro .
    Maravilha

    Responder
    1. Avatar de PTO
      PTO

      Olha que não, estás enganado.

      Só são uma mina de ouro as contas dos morcões que usam passwords tipo “data de nascimento”, “nome do cão” e outras passwords pouco complexas e fáceis de decorar. Mas desses eu não tenho pena nenhuma, zero.

      Responder
  10. Avatar de secalharya
    secalharya

    Que se lixem os gestores de passwords. São muito inseguros.

    12345678 é fácil de decorar.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.