O episódio dá sequência às explicações oferecidas desde o primeiro incidente de segurança de 2022. De início, Toubba lembra que nenhum dado de cliente foi acessado em agosto. Na época, os hackers coletaram partes do código-fonte do serviço e algumas informações técnicas. Depois, outro ataque aconteceu no final de novembro: com as credenciais roubadas há cerca de quatro meses, os criminosos acessaram um armazenamento na nuvem do gerenciador de senhas. Isto permitiu a cópia de informações básicas da conta do cliente e metadados relacionados. Estes dados, cabe ressaltar, também podem ser usados em ataques phishing, por exemplo. Mas é aí que entra a notícia ruim:
Cofres do LastPass são criptografados…
O executivo deu mais detalhes sobre a coleta das informações. Primeiro, Toubba tranquilizou os usuários ao lembrar que os “campos criptografados permanecem protegidos com criptografia AES de 256 bits”. Ou seja, para acessá-los, será preciso utilizar a senha do cofre, que sequer é armazenada pelo LastPass. “A criptografia e descriptografia de dados são realizadas apenas no cliente LastPass local”, explicou. Ele também ressaltou que nenhum dado de cartão de crédito foi invadido – no entanto, de todos os problemas, esse é o menor. Mais adiante, o executivo lembrou que os hackers podem usar a força bruta para descobrir a senha do cofre. Porém, esta não é uma alternativa muito simples: “seria extremamente difícil tentar adivinhar senhas mestras de força bruta para os clientes que seguem nossas práticas recomendadas de senha”, disse. Até aí, tudo bem. No entanto, é preciso prestar a atenção neste trecho: “para os clientes que seguem nossas práticas recomendadas de senha”. E é aí que precisamos fazer uma observação importante: não são todas as pessoas que prestam a atenção nesse detalhe. Vamos lembrar que “brasil” foi uma das senhas mais usadas no Brasil em 2022, atrás apenas de “123456”. Enquanto isso, “password” é a senha mais usada do mundo. Se a credencial não foi criada aleatoriamente, ainda existe outros riscos, como ataques via phishing ou engenharia social. Além disso, existem usuários que utilizam a mesma senha em todos os lugares.
…mas o acesso não é impossível
Outros fatores precisam ser colocados na balança. Mas é importante começar por um ponto crucial: o comunicado cita apenas a senha como mecanismo de segurança. Hoje em dia, esta não é a única barreira necessária para evitar acessos indevidos. E aqui vale citar a observação do The Verge, quando lembra que Toubba não citou nenhum recurso para impedir a tentativas contínuas para desbloquear o cofre. No comunicado, o CEO também fala que o gerenciador utiliza “uma implementação mais forte do que o típico de 100.100 iterações da função de derivação de chave baseada em senha (PBKDF2)”. Essa informação pode ser verificada diretamente nas configurações avançadas da conta. No entanto, voltemos ao site especializado: ao analisar uma conta antiga, um membro do Verge informou que o seu perfil estava configurado para 5.000 iterações. Ou seja, aparentemente, não são todas as pessoas que possuem o padrão reforçado. Por fim, a cereja do bolo: o executivo fala que, desde 2018, o LastPass exige senhas mestras com, no mínimo, doze caracteres. “Isso minimiza muito a capacidade de adivinhação de senha de força bruta bem-sucedida”, explicou. Mas e quem possui uma conta há mais tempo e utiliza uma senha fraca? O próprio comunicado já deixa claro que este cenário facilitaria uma invasão por força bruta. E aí retornamos ao que já discutimos por aqui: nem todo mundo usa senhas individuais e fortalecidas.
Troque todas as senhas
O LastPass não informou a parcela de usuários impactados pelo incidente. Todavia, quem avisa, amigo é: com ou sem senha mestre forte, troque todas as credenciais guardadas no gerenciador. De preferência, crie senhas fortes. A dica é válida, inclusive, para as chaves de autenticação em duas etapas. Também é importante tomar cuidado com solicitações estranhas, como o envio de emails ou mensagens falsas em nome da LastPass. Enquanto isso, a companhia está reforçando a proteção dos seus sistemas. E esperamos que isto seja levado com atenção dessa vez, pois este não foi o único incidente de segurança na história do gerenciador de senhas: em 2015, o LastPass também sofreu um ataque hacker. “Já notificamos um pequeno subconjunto (menos de 3%) de nossos clientes empresariais para recomendar que tomem determinadas ações com base em suas configurações de conta específicas”, disse Karim Toubba.