Em 2022, o gerenciador de senhas LastPass passou por dois vazamentos, o primeiro comprometeu parte do código-fonte do serviço, que foi usado para realizar o segundo ataque, em novembro de 2022. A empresa não havia informado exatamente quais dados foram comprometidos, até agora.
O LastPass é um serviço oferecido pela empresa GoTo (antes denominada LogMeIn), voltada principalmente ao público empresarial, apesar de muitos gamers utilizarem o Hamachi. O roubo de dados envolveu os serviços Central, Pro, join. me, Hamachi, e RemotelyAnywhere, os dois primeiros incluem o LastPass.
O portal BleepingComputer recebeu de um leitor, o encaminhamento de um e-mail enviado aos consumidores da Goto impactados pelo vazamento de dados, que informa que os cibercriminosos exfiltraram não apenas backups encriptados, mas também uma chave capaz de descriptografar parte dos arquivos roubados, entretanto, caso todos estejam sob uma criptografia simétrica, como a AES, há a chance de todos serem abertos.
Dentre as informações afetadas, temos dados sobre autenticação de dois fatores, além de usuários e senhas que passaram pelo processo de “picar e salgar”, para inserir ruídos que deixam deixam senhas mais seguras, presentes nos serviços Central e Pro,. Não sabemos até o momento se salgar e picar as senhas mitigou este problema, mas de qualquer forma, a GoTo trocou as senhas de seus usuários, que por sua vez, precisam atualizar sua autenticação de dois fatores.
Os usuários atingidos estão tendo suas contas migradas automaticamente para a plataforma de administração avançada de identidade para garantir que agentes maliciosos não consigam mais acessá-las, além disso, devem mudar a senha de acesso ao LastPass.
Os dados de usuários que foram comprometidos no vazamento da GoTo são:
- Senha e usuário de assinantes Cenrtral e Pro;
- Dados técnicos de implantação e provisionamento;
- Scripts One-to-Many (apenas usuários Central);
- Informações sobre a autenticação de múltiplos fatores;
- Dados de licenciamento e compra, como e-mail, número de telefone, endereço de cobrança e os quatro últimos dígitos do cartão de crédito.
A empresa também afirma que não há evidências de que intrusos tenham tido acesso aos sistemas de produção e que os hackers não serão capazes de interceptar nenhuma informação, graças ao sistema de criptografia de ponta a ponta, ao peer-to-peer e a camada de segurança de transporte (TSL) 1.2, um belo conjunto de buzzwords.