Gerenciador de senhas LastPass revela intrusão no sistema de desenvolvimento

O LastPass, fabricante de um aplicativo popular de gerenciamento de senhas, revelou na quinta-feira (25) que um grupo ou pessoa não autorizada obteve acesso ao seu ambiente de desenvolvimento, por meio de uma conta comprometida de um desenvolvedor, e roubou alguns códigos-fonte e informações técnicas proprietárias. Uma investigação inicial do incidente não revelou evidências de que dados de clientes ou cofres de senhas criptografados foram acessados pelo intruso, afirmou Karim Toubba, CEO da LastPass, em uma postagem no blog da empresa.

Toubba explicou que as senhas mestras dos usuários da empresa são protegidas por uma arquitetura de conhecimento zero, que impede o LastPass de saber ou acessar essas senhas.

“Nossos produtos e serviços estão operando normalmente”, acrescenta Nikolett Bacso Albaum, porta-voz da empresa. “Em resposta [ao incidente], iniciamos imediatamente uma investigação, implantamos medidas de contenção e mitigação e contratamos uma empresa líder em segurança cibernética e forense”.

“Enquanto nossa investigação está em andamento”, ela continua, “atingimos um estado de contenção, implementamos medidas de segurança aprimoradas adicionais e não vemos mais evidências de atividade não autorizada”.

Gerenciadores de senhas são alvo atraente

Embora o motivo das pessoas responsáveis por esse incidente do LastPass seja desconhecido, os gerenciadores de senhas são um alvo desafiador, mas atraente para os agentes de ameaças, observa Melissa Bischoping, Especialista em Pesquisa de Segurança de Endpoints da Tanium, uma empresa de gerenciamento e segurança de endpoints. “Eles desbloqueiam – literalmente – um tesouro de acesso a centenas de milhares de contas e dados confidenciais de clientes em um instante, se forem violados”, diz ela.

Também não se sabe como a conta do desenvolvedor foi comprometida. Presumivelmente, o LastPass tinha controles de autenticação adequados, mas às vezes “mesmo soluções de autenticação fortes não são suficientes por vários motivos”, diz Rajiv Piimplaskar, CEO da Dispersive Holdings, um provedor de edge de serviço de acesso seguro.

LastPass é capaz de conter o dano

Taylor Ellis, Analista de Ameaças ao Cliente da Horizon3.ai, uma empresa de teste de penetração automatizada como serviço, elogia o LastPass pela maneira como lidou com o incidente. “Sempre que ocorre uma violação, muitas organizações não conseguem isolar o incidente rapidamente ou lutam para orientar uma investigação de segurança adequada”, explica ela. “Como uma empresa de segurança experiente, a LastPass pelo menos teve a vantagem do time da casa seguindo os procedimentos corretos, isolando o problema a tempo e evitando que seus clientes fossem severamente impactados pela violação”.