LastPass sofre invasão e parte do código-fonte é roubada

Gerenciador de senhas LastPass notou atividade anormal em ambiente de desenvolvimento; dados pessoais e senhas não foram acessados, garante empresa

Giovanni Santa Rosa
Por

Gerenciadores de senhas são uma ótima forma de se proteger contra vazamentos e ações de hackers. Mas essas ferramentas também podem ser atacadas. O LastPass, um dos mais famosos gerenciadores, teve partes de seu código-fonte e das suas informações técnicas roubadas após uma invasão, revelou a companhia nesta quinta-feira (25).

LastPass para Android (Imagem: Emerson Alecrim/Tecnoblog)
LastPass para Android (Imagem: Emerson Alecrim/Tecnoblog)

Segundo Karim Toubba, CEO da empresa, uma atividade incomum foi detectada no ambiente de desenvolvimento há duas semanas. Essa atividade foi possível por meio de uma conta de desenvolvedor comprometida.

Por meio dela, um agente não-autorizado conseguiu pegar partes do código-fonte e de “informações técnicas proprietárias do LastPass”.

A empresa diz que não há evidências de acesso não-autorizado a dados de consumidores ou aos cofres criptografados de senhas.

Mesmo assim, a companhia diz ter tomado medidas de contenção e mitigação e implementado medidas de segurança adicionais, não vendo mais evidências de atividade não-autorizada. Uma empresa de cibersegurança contratada pela LastPass iniciou uma investigação.

No comunicado, a empresa incluiu questões frequentes dos usuários. Ela diz que as senhas-mestre não foram comprometidas, já que não são armazenadas por ela. No momento, os clientes não precisam tomar nenhuma medida adicional de segurança.

O site BleepingComputer diz que sua reportagem foi informada da invasão na semana passada — fontes teriam dito que os funcionários estavam tendo dificuldades para conter o ataque. Na ocasião, o LastPass não respondeu às perguntas da publicação.

LastPass já sofreu outros ataques

Este não é o primeiro episódio de cibersegurança envolvendo o LastPass. Em dezembro de 2021, a empresa foi alvo de um ataque de credential stuffing.

Esse nome é dado a ações em que agentes mal-intencionados pegam senhas que vazaram de outros serviços e tentam usá-las em um site específico para ver o que funciona.

Senhas-mestre do serviço também foram roubadas usando o malware RedLine, que rouba credenciais salvas em navegadores como Chrome, Edge e Opera.

Em 2019, foi descoberta uma vulnerabilidade no app que revelava senhas usadas em páginas visitadas anteriormente. Em 2015, a empresa também sofreu um ataque e precisou pedir aos usuários que trocassem suas senhas.

Com informações: The Register, BleepingComputer, LastPass.