Atualização da violação do LastPass – 22 de agosto a 22 de dezembro

Atualização 26 de 3 de janeiro:

A CyberHoot elaborou um novo Artigo LastPass: A gota d'água para o LastPass separadamente com critérios para escolher um gerenciador de senhas substituto.

Atualização 23 de 2022 de dezembro de 2:

Nu Segurança tem Este artigo detalhando sua opinião sobre a violação do LastPass e admitindo que cofres criptografados foram roubados. Eles têm alguns comentários e insights úteis. Isso fez a CyberHoot refletir mais um pouco...

Armazenamos as informações do nosso cartão de crédito no LastPass para facilitar o preenchimento de formulários. Vamos cancelar e reemitir nossos cartões de crédito? Falando pessoalmente, não o farei. Minha senha mestra era tão longa e complexa que o esforço necessário para quebrá-la, de acordo com este... Medidor de força de senha do site era: 7 quatrilhões de anos ufa! Que alívio.

23 de dezembro de 2022: Atualização sobre a violação do CyberHoot LastPass:

A LastPass divulgou novas informações sobre seu último anúncio de violação de segurança, de 30 de novembro, no qual seu monitoramento identificou uma nova violação (vinculada à violação de agosto). Nesta atualização de 12/22/2022, eles admitem acreditar que cofres de senhas de clientes criptografados com AES de 256 bits foram roubados de terceiros. Esta é a primeira vez que eles reconhecem que os dados dos clientes estavam em risco. Aqui está a opinião deles sobre a situação:

22 de dezembro, atualização do blog LastPass:  

Se você usar as configurações padrão acima, levaria milhões de anos para descobrir sua senha mestra usando a tecnologia de quebra de senhas geralmente disponível. Seus dados confidenciais do cofre, como nomes de usuário e senhas, notas seguras, anexos e campos de formulário, permanecem criptografados com segurança com base na arquitetura Conhecimento Zero do LastPass. Não há ações recomendadas que você precise tomar neste momento.

No entanto, é importante observar que, se a sua senha mestra não utilizar os padrões acima, o número de tentativas necessárias para adivinhá-la corretamente será significativamente reduzido. Nesse caso, como medida extra de segurança, você deve considerar minimizar os riscos alterando as senhas dos sites que você armazenou.

Então, o que isso significa para todos os usuários do LastPass, ou para as empresas que implementaram o LastPass para seus usuários? Muito trabalho, na verdade.

Avaliação de impacto da CyberHoot:

Nossa equipe sabe que o seguinte é verdade: em muitos dos ambientes LastPass que supervisionamos na última década, apesar de nossos vídeos de treinamento e nossas políticas de senha exigirem um mínimo de 14 caracteres nas senhas (2 a mais do que os padrões do LastPass), vimos muitas Senhas Mestras que eram FRACO. Portanto, dada a falta geral de higiene de senhas fortes, essas novas informações de violação do LastPass exigem que a CyberHoot faça as seguintes recomendações a qualquer pessoa que use o LastPass pessoalmente ou em sua empresa:

1. Informe seus usuários sobre esta violação e declarar o seguinte: “Calcule o tamanho da sua senha hoje mesmo. Se você usou uma Senha Mestra com menos de 12 caracteres, altere-a hoje mesmo."
2. Se você tivesse uma senha mestra com 12 caracteres ou mais, ainda poderia seguir as dicas abaixo, mas não achamos que seja 100% necessário. Você pode PULAR PARA O PASSO 3.3 ABAIXO. No entanto, se sua senha for mais curta, especialmente aquelas com 8 ou 9 caracteres ou menos, vá para o passo 3.
3. Se você estiver alterando sua senha mestra devido à recomendação nº 1 acima, faça também CADA UM DOS seguintes:
   1. 1. Crie uma nova Senha Mestra com 14 a 20 caracteres! Assista a isto Vídeo sobre senhas e frases-senha do CyberHoot para dicas úteis.
      2. Altere as senhas de TODAS as SUAS CONTAS CRÍTICAS armazenadas no seu Cofre de Senhas[Nota: sim, ouvimos a reclamação coletiva sobre esta sugestão. Faça mesmo assim.] O motivo é que, se você tivesse uma senha curta que pudesse ser forçada a força bruta, todas as suas senhas poderiam estar em risco. Você tem um curto espaço de tempo antes que os hackers do LastPass possam, teoricamente, atacar seu Vault e forçar sua conta. Portanto, por precaução, altere todas as senhas críticas da sua conta para protegê-las de comprometimento.Dica do CyberHoot: Altere sua senha de e-mail primeiro se ela não estiver vinculada à autenticação multifator (MFA).
      3. Habilite o acesso multifator ao seu cofre de senhas do LastPass.  Use um aplicativo autenticador (não precisa ser o LastPass Authenticator). Aplicativos autenticadores são mais seguros do que o MFA de mensagens de texto.Nota do CyberHoot: ter o MFA habilitado NÃO faz NADA para proteger os cofres roubados nesta violação do LastPass. Os ladrões tentarão invadir os cofres de senhas apenas com base na força (tamanho) da senha mestra que você definiu.]
4. Este passo vale para TODOS. Habilitar Autenticação multifator (MFA), usando um aplicativo autenticador ou, se você realmente é um fanático por segurança, um Yubikey token de hardware, em todas as suas contas online que suportam MFA. Isso evitaria que até mesmo um cofre do LastPass violado levasse ao comprometimento de suas contas protegidas por MFA. O MFA é seu amigo. Pode parecer um incômodo às vezes, mas a verdade é que o problema de um comprometimento é muito pior.  Faça isso hoje.

Viabilidade do CyberHoot LastPass:  Q: A CyberHoot acha que o LastPass é uma solução viável considerando essa violação e violações anteriores que enfrentou?

Resposta: Não podemos responder a essa pergunta por você. Para o Cyberhoot, continuaremos a usar o LastPass, pois estamos totalmente comprometidos com ele neste momento. Nossas senhas mestras têm MUITO MAIS do que 12 caracteres, o que torna improvável que o roubo do nosso cofre entregue algo aos hackers em questão. Além disso, por mais doloroso que este episódio tenha sido para o LastPass, ele demonstra seu compromisso com a transparência e a segurança.  Teria sido muito mais fácil para eles esconderem esse incidente escondendo-o debaixo do tapete.  Não o fizeram. Queremos uma empresa transparente. Que admita erros quando eles acontecem. Que tenha monitoramento avançado para detectar eventos de segurança (como fizeram neste caso). E que reporte isso de forma honesta e aberta. Encerraremos com uma declaração pela qual o FBI é citado há muito tempo, porque se aplica a TODAS as empresas e a TODOS os fornecedores de software gerenciador de senhas.

"Existem dois tipos de empresas neste mundo: aquelas que sabem que foram hackeadas e aquelas que não sabem que foram hackeadas.

Sabemos quando e como o LastPass foi hackeado aqui. Sabemos de algum outro fornecedor de gerenciadores de senhas que tenha sido hackeado?

Transparência total:  A CyberHoot não ganhou um único centavo com o LastPass em nenhuma função, seja programa de indicação ou qualquer outro. Provavelmente deixamos milhares de dólares em indicações na mesa por querermos manter distância de nossos relatórios.

Fontes:

Artigo de 23 de dezembro da Naked Security sobre a violação do LastPass

Blog do LastPass descrevendo a violação e sua resposta

Proteja seu negócio com a CyberHoot hoje mesmo!!!

Inscreva-se para assistir