A LastPass bloqueou desde o dia 27 várias tentativas de acesso a contas de usuários, feitas com seu login e senha master, por meio de um IP que segundo o alerta da empresa pertence ao range do Brasil. Como as contas têm duplo fator de autenticação, nenhuma parece ter sido violada afirmou a empresa. Mas como o LastPass é um gerenciador de credenciais, obter o acesso à conta de um usuário significa obter o acesso a todas as credenciais que ele guarda ali. Centenas de usuários se queixaram do problema. A LastPass publicou vários comunicados, dois deles por meio de posts de dois vice-presidentes, informando que não houve violação.
A empresa, no entanto, confirmou que as tentativas existiram e que se tratou de um ataque do tipo ‘credential stuffing’. Nesse tipo de ataque, são utilizadas credenciais obtidas nos vazamentos de outras organizações. Os atacantes utillizam essas credenciais em variadas tentativas de acesso, supondo que elas são adotadas pelos usuários para o acessso a vários serviços.
Gabor Angyal, vice-presidente de engenharia da LastPass, afirmou que “embora tenhamos observado um pequeno aumento nesta atividade, estamos utilizando vários métodos técnicos, organizacionais e operacionais projetados para proteger contra tentativas de credential stuffing. É importante ressaltar que também queremos garantir a você que não há nenhuma indicação, neste momento, de que LastPass ou LogMeIn foram violados ou comprometidos”.
Ontem, a empresa publicou um comunicado explicando que investigou os alertas recebidos pelos usuários e acredita que eles foram disparados em resposta à tentativa de atividade de “credential stuffing”.
O comunicado diz: “Por excesso de cautela, continuamos a investigar em um esforço para determinar o que estava fazendo os e-mails de alerta de segurança automatizados serem disparados de nossos sistemas. Nossa investigação descobriu que alguns desses alertas de segurança, que foram enviados a um subconjunto limitado de usuários do LastPass, provavelmente foram disparados por engano. Como resultado, ajustamos nossos sistemas de alerta de segurança e esse problema foi resolvido”.
Gabor Angyal observou que “em nenhum momento o LastPass armazena, tem conhecimento ou tem acesso à (s) senha (s) mestra (s) de um usuário”.
Com agências de notícias internacionais