Photo by john lozano on Unsplash

LastPass detalha a invasão de servidores em agosto

Da Redação
18/09/2022

O executivo Karim Toubba, CEO da LastPass, empresa especializada em gerenciamento de credenciais, publicou na quinta-feira, 15, um comunicado no blog da companhia explicando o incidente ocorrido em agosto, quando a rede da LastPass foi invadida. Nessa invasão, houve acesso a códigos-fonte e informações técnicas da empresa segundo o CEO: “Nossa investigação determinou que o agente da ameaça obteve acesso ao ambiente de desenvolvimento usando o endpoint comprometido de um desenvolvedor. Embora o método usado para o comprometimento inicial do endpoint seja inconclusivo, o agente da ameaça utilizou seu acesso persistente para se passar pelo desenvolvedor depois que  o desenvolvedor  foi autenticado com sucesso usando a autenticação multifator”.

A investigação, explicou, foi feita pela Mandiant: “Concluímos o processo de investigação e perícia em parceria com a Mandiant. Nossa investigação revelou que a atividade do agente da ameaça foi limitada a um período de quatro dias em agosto de 2022. Durante esse período, a equipe de segurança do LastPass detectou a atividade do agente da ameaça e conteve o incidente. Não há evidências de qualquer atividade do agente de ameaças além do cronograma estabelecido. Também podemos confirmar que não há evidências de que esse incidente tenha envolvido qualquer acesso a dados de clientes ou cofres de senhas criptografadas”.   

Veja isso
LastPass admite, em nota, incidente de segurança
IP do Brasil atacou master passwords do LastPass

Embora o agente da ameaça pudesse acessar o ambiente de desenvolvimento, o design e os controles do nosso sistema impediram que ele acessasse quaisquer dados do cliente ou cofres de senhas criptografadas afirmou Toubba. “Em primeiro lugar, o ambiente de desenvolvimento do LastPass é fisicamente separado e não tem conectividade direta com nosso ambiente de produção. Em segundo lugar, o ambiente de desenvolvimento não contém dados de clientes ou cofres criptografados. Em terceiro lugar, o LastPass não tem acesso às senhas mestras dos cofres de nossos clientes – sem a senha mestra, não é possível para ninguém além do proprietário de um cofre descriptografar os dados do cofre como parte de nosso modelo de segurança Zero Knowledge”. 

O CEO acrescentou que para validar a integridade do código, foi feita uma análise do código-fonte e das compilações de produção, “e confirmamos que não vemos evidências de tentativas de envenenamento de código ou injeção de código malicioso. Os desenvolvedores não têm a capacidade de enviar  o código-fonte do ambiente de desenvolvimento para a produção. Esse recurso é limitado a uma equipe de Build Release separada e só pode acontecer após a conclusão de processos rigorosos de revisão de código, teste e validação”.

Como parte do programa de gerenciamento de risco, Toubba disse que foi feita parceria com uma empresa “líder em segurança cibernética para aprimorar ainda mais nossas práticas de segurança de código-fonte existentes, que incluem processos de ciclo de vida de desenvolvimento de software seguro, modelagem de ameaças, gerenciamento de vulnerabilidades e programas de recompensas por bugs. Além disso, implantamos controles de segurança aprimorados, incluindo controles e monitoramento de segurança de endpoint adicionais. Também implantamos recursos adicionais de inteligência de ameaças, bem como tecnologias aprimoradas de detecção e prevenção em nossos ambientes de desenvolvimento e produção.

Compartilhar: