Categories: Tecnologia

LastPass diz que não vazou sua senha mestra [atualização: mais esclarecimentos]

II.studio/Shutterstock.com

Vários usuários do LastPass afirmam que estão recebendo e-mails da empresa sobre tentativas de login não autorizado usando suas senhas mestras. Felizmente, o LastPass respondeu ao problema e o gerenciador de senhas diz que não vazou nenhuma informação do usuário.

Atualização, 29/12/21 8:07 Leste: LastPass investigou o problema e descobriu que os alertas foram enviados por engano. Dan DeMichele, VP de Gerenciamento de Produto, LastPass, emitiu uma declaração de atualização sobre o problema:

Como afirmado anteriormente, o LastPass está ciente e tem investigado relatos recentes de usuários que recebem e-mails alertando-os sobre tentativas de login bloqueadas.

Trabalhamos rapidamente para investigar essa atividade e, no momento, não temos nenhuma indicação de que qualquer conta LastPass tenha sido comprometida por um terceiro não autorizado como resultado desse enchimento de credenciais, nem encontramos qualquer indicação de que as credenciais LastPass do usuário foram coletadas por malware, extensões de navegador desonestos ou campanhas de phishing.

No entanto, por muita cautela, continuamos a investigar em um esforço para determinar o que estava fazendo com que os e-mails de alerta de segurança automatizados fossem disparados de nossos sistemas.

Nossa investigação descobriu que alguns desses alertas de segurança, enviados a um subconjunto limitado de usuários do LastPass, provavelmente foram disparados por engano. Como resultado, ajustamos nossos sistemas de alerta de segurança e esse problema já foi resolvido.

Esses alertas foram acionados devido aos esforços contínuos da LastPass para defender seus clientes de agentes mal-intencionados e tentativas de enchimento de credenciais. Também é importante reiterar que o modelo de segurança de conhecimento zero do LastPass significa que em nenhum momento o LastPass armazena, tem conhecimento ou tem acesso à (s) senha (s) mestra (s) de um usuário.

Continuaremos monitorando regularmente para atividades incomuns ou maliciosas e, conforme necessário, continuaremos a tomar medidas destinadas a garantir que o LastPass, seus usuários e seus dados permaneçam protegidos e seguros. ”

Relatórios originados de Hacker News , onde um usuário disse, “LastPass bloqueou uma tentativa de login do Brasil (não fui eu). De acordo com um e-mail que recebi do LastPass, esse login estava usando a senha mestra da conta do LastPass. O e-mail não parece ser uma tentativa de phishing. ”

Isso levou a especulações de que o LastPass pode ter vazado de alguma forma senhas mestras, já que esses e-mails só chegam se a pessoa não autorizada fizer login com a senha correta. No entanto, isso parecia improvável, pois o LastPass deixa claro que não armazena senhas mestras em seus servidores e que tudo é feito localmente.

Entramos em contato com o LastPass para comentar, e um porta-voz confirmou nossas suspeitas:

O LastPass investigou relatórios recentes de tentativas de login bloqueadas e determinou que a atividade está relacionada a atividades bastante comuns relacionadas a bot, em que um agente mal-intencionado ou mal intencionado tenta acessar contas de usuário (neste caso, LastPass) usando endereços de e-mail e senhas obtidas de terceiros. violações de partes relacionadas a outros serviços não afiliados. É importante notar que não temos qualquer indicação de que as contas foram acessadas com sucesso ou que o serviço LastPass foi comprometido por uma parte não autorizada. Nós monitoramos regularmente este tipo de atividade e continuaremos a tomar medidas destinadas a garantir que o LastPass, seus usuários e seus dados permaneçam protegidos e seguros.

Parece que o LastPass fez exatamente o que deveria fazer nessa situação, bloqueando uma tentativa de login que parecia suspeita.

Parece que os usuários que tiveram suas senhas roubadas podem ter sido vítimas de um keylogger ou outra forma de ataque de terceiros. As informações deles também podem ter vazado em um ataque não relacionado em que eles estão usando o mesmo endereço de e-mail e senha.

De qualquer forma, se você for um usuário LastPass (ou usuário de qualquer ferramenta confidencial como um gerenciador de senhas), é uma boa ideia habilitar a autenticação de dois fatores  para ter certeza de que você está protegido contra qualquer pessoa que obtenha acesso não autorizado à sua conta. Também nunca é uma má ideia mudar sua senha se você estiver preocupado com ela pode ser comprometida por qualquer motivo.

maisroot

Recent Posts

O novo aplicativo “PC Manager” da Microsoft se parece muito com o CCleaner

Muitos aplicativos de limpeza estão disponíveis para Windows ao longo dos anos, mas hoje em…

1 ano ago

Como reiniciar um PS4

Seu PlayStation 4 está congelado? Seus jogos favoritos continuam travando? Reiniciar seu PS4 pode resolver…

1 ano ago

Veja por que as reticências são tão assustadoras ao enviar mensagens de texto…

A popularidade das mensagens de texto significou aprender uma forma totalmente nova de comunicação. Você…

1 ano ago

O telescópio James Webb acaba de capturar os “Pilares da Criação”

A foto dos "Pilares da Criação" tirada pelo Telescópio Espacial Hubble é uma das fotos…

1 ano ago

Você poderá baixar o Proton Drive mais cedo do que pensa

O Proton Drive saiu de seu estágio beta há algumas semanas, mas o aplicativo real…

1 ano ago

Como aumentar o zoom no Photoshop

Para ver suas fotos mais de perto ou para uma edição precisa , você pode…

1 ano ago