O Information Commissioner's Office (ICO) do Reino Unido aplicou uma multa de 1,2 milhões de libras (aproximadamente 1,44 milhões de euros) à LastPass. A decisão surge na sequência da falha da empresa em implementar medidas de segurança adequadas, o que permitiu que um hacker roubasse informações pessoais e cofres de palavras-passe encriptados pertencentes a cerca de 1,6 milhões de utilizadores britânicos durante uma violação de segurança em 2022.
De acordo com a entidade reguladora, o incidente resultou de duas violações interligadas que tiveram início em agosto de 2022. O caso expõe a fragilidade que pode surgir quando ambientes pessoais e profissionais se cruzam sem as devidas proteções.
Uma cadeia de falhas de segurança
O primeiro incidente ocorreu em agosto de 2022, quando um atacante comprometeu o computador portátil de um funcionário da LastPass, acedendo a partes do ambiente de desenvolvimento da empresa. Embora, nessa fase inicial, não tenham sido roubados dados pessoais dos utilizadores, o intruso conseguiu obter o código-fonte da empresa, informações técnicas proprietárias e credenciais empresariais encriptadas.
A LastPass acreditou inicialmente que a situação estava contida, uma vez que as chaves de desencriptação para essas credenciais estavam guardadas separadamente nos cofres de quatro funcionários séniores. No entanto, a situação agravou-se drasticamente no dia seguinte.
O atacante visou especificamente um desses funcionários séniores, explorando uma vulnerabilidade conhecida numa aplicação de terceiros — que se acredita ser o Plex — instalada no dispositivo pessoal do trabalhador. Este acesso permitiu a instalação de malware do tipo keylogger, capturando a palavra-passe mestra do funcionário.
Como o funcionário utilizava a mesma palavra-passe mestra tanto para os cofres pessoais como para os profissionais, o atacante conseguiu aceder ao cofre da empresa. A partir daí, roubou uma chave de acesso da AWS (Amazon Web Services) e uma chave de desencriptação. Estas chaves, combinadas com a informação roubada anteriormente, permitiram invadir a empresa de armazenamento na nuvem GoTo e exfiltrar cópias de segurança da base de dados da LastPass.
Dados expostos e a reação do regulador
As informações roubadas incluíam cofres de palavras-passe encriptados, nomes, endereços de e-mail, números de telefone e URLs de sites associados às contas dos clientes. Karim Toubba, CEO da LastPass, explicou na altura que os atacantes copiaram informações que continham tanto dados não encriptados (como URLs) como campos sensíveis totalmente encriptados (nomes de utilizador e palavras-passe).
Apesar de a LastPass manter uma arquitetura de "Conhecimento Zero" (Zero Knowledge) — o que significa que apenas o utilizador sabe a sua palavra-passe mestra para desencriptar o cofre —, a segurança destes dados depende inteiramente da complexidade dessa mesma senha. Ataques de força bruta modernos podem comprometer palavras-passe fracas, colocando os dados dos utilizadores em risco.
John Edwards, Comissário de Informação do Reino Unido, sublinhou que, embora os gestores de palavras-passe sejam ferramentas críticas, as empresas que oferecem estes serviços devem garantir que os seus controlos de acesso e sistemas internos estão protegidos contra ataques direcionados.
Em resposta à multa, a LastPass declarou estar desiludida com o resultado, mas satisfeita por ver que a decisão do ICO reconheceu os esforços realizados pela empresa para reforçar a sua plataforma e medidas de segurança desde o incidente.
Nenhum comentário
Seja o primeiro!