“
Em agosto de 2022, o gerenciador de senhas LastPass sofreu uma violação massiva. Um cibercriminoso desconhecido conseguiu atingir um dos quatro engenheiros de DevOps do LastPass que tinham acesso às chaves de descriptografia para o serviço de armazenamento em nuvem. Usando as credenciais roubadas do engenheiro, o hacker conseguiu infiltrar os sistemas do LastPass sem ser detectado. Essa violação durou meses e continuou mesmo depois que o LastPass acreditou que a ameaça havia sido contida.
A violação do LastPass permitiu que o agente de ameaças obtivesse acesso aos \”dados de backup do cofre do cliente\”. De acordo com a empresa, dados criptografados, como nomes de usuário e senhas, bem como dados não criptografados, como URLs de sites, foram afetados. Violações em grandes empresas e plataformas online não são novidade. No caso da violação do LastPass, os hackers não precisam encontrar nenhuma falha técnica para explorar. Ao atingir os seres humanos que trabalham nessas empresas, usando táticas como engenharia social, toda organização tecnicamente tem uma fraqueza que pode ser explorada. No entanto, a violação do LastPass foi diferente. Os hackers violaram um gerenciador de senhas, uma plataforma destinada a proteger suas senhas e permitir o uso de credenciais altamente seguras para cada um de seus logins. E isso se mostrou muito bem-sucedido para os hackers.
Nos últimos meses, houve uma série de relatórios detalhando como a violação do LastPass parece estar ligada a roubos relacionados a criptomoedas. Centenas de milhões de dólares foram supostamente roubados como resultado da violação do LastPass. Em um desses incidentes, investigadores federais dos EUA afirmam que a violação do LastPass parece ser a fonte de um roubo de criptomoeda que resultou em US$ 150 milhões roubados de uma carteira de criptomoedas no ano passado. As autoridades chegaram a essa conclusão depois de descobrir que as credenciais de login estavam armazenadas no gerenciador de senhas da vítima. Além disso, os investigadores não encontraram nenhuma evidência de que os dispositivos da vítima foram hackeados.
E parece que o pior ainda está por vir. Graças ao sucesso dos hackers com a intrusão do LastPass, os gerenciadores de senhas estão agora sob ataque. Os hackers perceberam que, em vez de perder tempo invadindo uma plataforma de cada vez ao atingir um usuário, eles podem obter acesso a todas as credenciais de login se conseguirem invadir o gerenciador de senhas do seu alvo. Um exemplo disso é um aplicativo falso do LastPass que conseguiu passar pelo processo de revisão da Apple e foi aprovado na App Store. O aplicativo falso do LastPass era basicamente um aplicativo de phishing que tentava enganar os usuários do LastPass a acreditar que era o aplicativo oficial, para que eles inserissem suas credenciais de login, que então iriam direto para o agente malicioso que o criou.
Mas não se deixe enganar pensando que isso se trata apenas do LastPass. Os hackers estão mirando os gerenciadores de senhas em geral. Um novo relatório divulgado no mês passado pela empresa de segurança cibernética Picus Security descobriu que 25% de todos os malwares agora estão direcionados a gerenciadores de senhas ou outros serviços de armazenamento de credenciais. Há algumas lições aqui para o futuro. Não podemos mais presumir que, apenas porque você está usando um gerenciador de senhas, suas credenciais de login são de alguma forma mais seguras. Pode ser mais conveniente de usar, mas violações ainda podem acontecer.
Usuários que procuram gerenciadores de senhas também devem priorizar a criptografia. Os hackers conseguiram obter URLs de sites em texto simples na invasão do LastPass. Embora isso possa não parecer crucial por si só, fornece aos hackers um modelo básico. Mostra em quais plataformas você possui contas, o que pode ser uma ferramenta extremamente importante para um hacker que procura criar um e-mail de phishing. Pode não ter sido tão fácil obter as próprias credenciais de login, mas eles sabiam exatamente para onde ir e como atingir os usuários para obter acesso não autorizado. Em maio de 2024, o LastPass aprendeu com seus erros e a empresa anunciou que estava implementando a criptografia de URLs. Mas a lição mais importante é a importância da autenticação de dois fatores. Sim, você pode usar um gerenciador de senhas para tornar o processo de login o mais fácil possível, e a autenticação de dois fatores exigirá que você insira credenciais para passar por mais uma camada de segurança. Mas, mesmo que um hacker invada seu gerenciador de senhas e roube sua senha, ele ainda não poderá acessar sua conta a menos que tenha acesso ao seu dispositivo móvel físico. Além disso, caso seu gerenciador de senhas seja violado, você precisará alterar sua senha. Não apenas sua senha mestre. Você deve alterar sua senha para cada plataforma com uma credencial de login salva em seu gerenciador de senhas.
“