Autoridades federais confirmam ligação entre hack da LastPass em 2022 e extorsão cibernética

 (krebsonsecurity.com)
1 pontos por GN⁺ 2025-03-09 | 1 comentários | Compartilhar no WhatsApp

  • Setembro de 2023, incidente de hack da LastPass

    • O KrebsOnSecurity informou, em setembro de 2023, que a senha mestra da LastPass havia sido roubada, resultando em roubos cibernéticos de centenas de milhares de dólares contra várias vítimas.
    • Investigadores federais dos EUA chegaram à mesma conclusão ao investigar um roubo de criptomoedas de US$ 150 milhões ocorrido em 30 de janeiro de 2024.

  • Caso de roubo de criptomoedas

    • Em 6 de março de 2024, promotores federais do norte da Califórnia anunciaram que recuperaram cerca de US$ 24 milhões em criptomoedas após um roubo cibernético de US$ 150 milhões.
    • A vítima desse caso é presumidamente Chris Larsen, cofundador da Ripple.

  • Conclusões da investigação federal

    • O Serviço Secreto dos EUA e o FBI chegaram à mesma conclusão sobre os roubos relacionados ao incidente da LastPass.
    • Eles confirmaram que os dados e senhas roubados foram usados para acessar ilegalmente as contas de gerenciador de senhas online das vítimas e roubar criptomoedas e outros dados.

  • Características em comum das vítimas

    • Os pesquisadores de segurança Nick Bax e Taylor Monahan descobriram que as vítimas não sofreram ataques típicos, como comprometimento de e-mail, contas móveis ou ataques de SIM swapping.
    • Todas as vítimas haviam armazenado frases-semente de criptomoedas nas "Secure Notes" de suas contas LastPass.

  • Padrão complexo dos roubos

    • Os fundos roubados foram rapidamente movidos por várias contas em diferentes exchanges de criptomoedas.
    • O governo concluiu que esse padrão complexo de roubo foi realizado com a colaboração de vários agentes maliciosos.

  • Resposta da LastPass

    • A LastPass afirmou que não viu evidências conclusivas, vindas de investigadores federais ou de outras fontes, de que os roubos estejam relacionados ao hack da LastPass.
    • Em agosto de 2022, a LastPass anunciou que detectou atividade anormal em seu ambiente de desenvolvimento de software e que parte do código-fonte e de informações técnicas havia sido roubada.
    • Em novembro de 2022, a LastPass notificou os clientes de que cofres de senhas criptografados e informações pessoais haviam sido comprometidos.

  • Opinião de especialistas em segurança

    • Muitas vítimas usavam senhas mestras de baixa complexidade, o que sugere que provavelmente eram clientes antigos da LastPass.
    • A LastPass passou a exigir senhas mais complexas de novos usuários, mas aparentemente não aplicou isso aos clientes antigos.

  • Necessidade de reforçar a segurança

    • Os pesquisadores afirmam que a LastPass deveria ter recomendado aos clientes a troca de senha.
    • Apesar da reação negativa da LastPass, os pesquisadores de segurança enfatizam que medidas adicionais são necessárias para evitar mais invasões.

Leituras relacionadas

1 comentários

 
GN⁺ 2025-03-09
Comentários do Hacker News
  • A 1Password não recebe reconhecimento suficiente pela escolha de criptografar todos os cofres com uma chave secreta avançada. Isso tem um custo em experiência do usuário e carga de suporte, mas faz com que um vazamento de dados não se torne um grande problema
  • A LastPass minimizou o vazamento de dados e não criptografou corretamente dados como a seção de notas. Escapou da responsabilização, mas deveria ter sido processada
  • A LastPass sabia que as senhas mestras dos usuários não eram seguras o suficiente e, ainda assim, não agiu de forma proativa. Isso é imperdoável
  • Quem usa LastPass deveria migrar para opções mais confiáveis como 1Password, Bitwarden e Keepass, além de trocar todas as senhas importantes
  • Estou confuso sobre como o hack da LastPass levou à perda de senhas. Eu achava que funcionava como a 1Password; se fosse assim, ainda deveria ser muito difícil ou impossível. Alguém pode explicar como os gerenciadores de senhas, ou a LastPass, são diferentes?
  • Na 1Password, a chave de descriptografia é dividida em duas partes: a única senha do usuário + a chave secreta. As duas são necessárias. A chave secreta é gerada aleatoriamente e tem algo como 128 bits. A 1Password a gera e a envia ao usuário, mas nunca mais a vê. Mesmo que o cofre seja roubado, seria necessário quebrar a senha e a chave secreta de 128 bits, então há pelo menos 128 bits de segurança garantidos
  • Como a LastPass é diferente? A chave secreta também foi roubada? O cofre roubado sofreu ataques adicionais para extrair a chave secreta? A LastPass não usa uma estrutura parecida com a da 1Password? Ou, mesmo usando a 1Password, devo achar que ela não é segura?
  • Não uso LastPass desde a segunda grande violação de segurança, em 2013. Na Wikipedia aparecem apenas 3 incidentes no total, mas lembro de ter visto pelo menos 5 relatos de 2010 até hoje. Ainda assim, continuei vendo empresas usarem LastPass durante todo esse tempo, e isso sempre me surpreendeu
  • A LastPass afirma que não há evidências ligando os dois incidentes. Mas é difícil acreditar que pessoas que guardam milhões de dólares em "colecionáveis" não troquem suas senhas pelo menos uma vez por ano
  • Rotação de senha já não é mais a melhor prática, mas neste caso ainda é uma escolha prudente
  • Olhando para o KeepassXC local e mantendo a calma
  • Disseram para guardar as senhas na nuvem e que não haveria problema algum
  • Centralizar as credenciais de todo mundo continua sendo a ideia mais arriscada. A única coisa mais atraente para hackers talvez sejam drogas para melhorar desempenho sexual grátis, mas só por um momento; depois eles voltariam a tentar roubar as credenciais de todo mundo
  • Outro alvo: as informações de identificação pessoal de todos, dados sobre amigos, família e animais de estimação, respostas para perguntas de segurança, ID móvel, números PIN, números de conta, assinaturas, fotos, impressões digitais, padrões de voz, escaneamentos faciais e de retina, modo de andar, DNA e RNA mitocondrial
  • Lembro de quando a LastPass apareceu pela primeira vez e todos achavam que ela era fraca e pouco confiável. Pepperidge Farm também lembra
  • O que as pessoas mais preocupadas com segurança fazem em relação a senhas? Parece que é preciso usar a mesma senha em tudo ou usar um gerenciador de senhas. Mas sempre me preocupei que, se todas as senhas estiverem em um só lugar, quando esse lugar for comprometido não será apenas uma que vaza, e sim todas
  • Muitas soluções parecem envolver uma troca com a conveniência. Dá para manter um fichário físico cheio de senhas no escritório em casa, mas é incômodo procurar e digitar toda vez, além de representar um grande risco para qualquer pessoa com acesso físico