A empresa LastPass diz que os dados dos utilizadores permanecem seguros e que continua a investigar o incidente.
Por John P. Mello Jr.
A LastPass, criadora de uma popular aplicação de gestão de passwords, revelou que uma entidade não autorizada obteve acesso ao seu ambiente de desenvolvimento e roubou parte do código fonte e da informação técnica proprietária.
Uma investigação inicial sobre o incidente não revelou qualquer prova de que o intruso tenha acedido a dados de clientes ou a lojas de palavras-passe encriptadas, disse o CEO da empresa, Karim Toubba, num post da empresa.
Toubba explicou que as senhas mestras dos utilizadores da empresa são protegidas por uma arquitetura de conhecimento zero, o que impede a LastPass de conhecer ou aceder a essas senhas.
“Os nossos produtos e serviços estão a funcionar normalmente”, acrescenta Nikolett Bacso Albaum, porta-voz da LastPass. “Em resposta ao incidente, lançámos imediatamente uma investigação, implementámos medidas de contenção e mitigação e contratámos uma empresa líder em cibersegurança e análise forense”.
“Enquanto a nossa investigação está em curso”, continua, “implementámos um estado de contenção, implementámos medidas de segurança adicionais reforçadas e não vemos mais provas de atividade não autorizada”.
Gestores de senhas são alvo atrativo
Embora o motivo para este incidente seja desconhecido, os gestores de senhas são um alvo difícil mas atraente para os criminosos, nota Melissa Bischoping, especialista em investigação de segurança de endpoint em Tanium. “Se violados, desbloqueiam – literalmente – um tesouro de acesso a centenas de milhares de contas e dados sensíveis de clientes num instante”, diz ela.
Também se desconhece como é que a conta foi comprometida. A LastPass presumivelmente tinha controlos de autenticação adequados em vigor, mas por vezes “mesmo soluções de autenticação fortes não são suficientes por várias razões”, diz Rajiv Pimplaskar, CEO da Dispersive Holdings, um fornecedor de serviços de acesso seguro.
LastPass pode conter danos
Taylor Ellis, analista de ameaças a clientes da Horizon3.ai, uma empresa de testes automatizados de penetração como serviço, elogia a LastPass pela forma como lidou com o incidente. “Sempre que ocorre uma violação, muitas organizações não conseguem isolar o incidente rapidamente ou têm dificuldade em orientar uma investigação de segurança adequada”, explica. “Como empresa de segurança experiente, a LastPass tinha pelo menos a vantagem de agir como a equipa local, seguindo os procedimentos corretos, isolando o problema a tempo e evitando que os seus clientes fossem severamente afetados pela violação”.