Os utilizadores do gestor de palavras-passe LastPass enfrentam um novo incidente de segurança. Uma falha de segurança num fornecedor externo comprometeu dados de contacto e informações de gestão de clientes. Felizmente, os cofres virtuais e as palavras-passe mestras permanecem seguros.
A origem do ataque
A falha ocorreu na Klue, uma plataforma de estudos de mercado que o LastPass utiliza para integrar os seus sistemas Salesforce e Gong. Os piratas informáticos conseguiram roubar os tokens de segurança OAuth usados pela Klue para aceder aos dados dos clientes nestas plataformas. Ao explorar estes tokens, os atacantes extraíram informações armazenadas no Salesforce, que incluem nomes, números de telefone, endereços de correio electrónico, moradas físicas e detalhes relacionados com vendas e suporte técnico.
A Klue detectou a intrusão a 12 de Junho e, desde então, está a trabalhar com especialistas em cibersegurança para restaurar as ligações afectadas. Em resposta, o LastPass cortou o acesso dos seus funcionários à plataforma externa, actualizou os tokens expostos e iniciou uma investigação em conjunto com as autoridades.
Várias empresas na mira do ransomware
O LastPass não é a única vítima deste ataque. Como avança o site TechCrunch, outras empresas de renome foram afectadas, a incluir a Gong, Jamf, HackerOne, Snyk e OneTrust. O grupo de ransomware Icarus já reivindicou a autoria da invasão, a ameaçar publicar todos os dados roubados caso a Klue não pague o resgate exigido.
O que os utilizadores devem fazer
Apesar de os cofres de passwords estarem a salvo, os especialistas recomendam a adopção de várias medidas de precaução para garantir a segurança das contas:
- Verificar as comunicações oficiais: Os clientes afectados devem procurar na sua caixa de correio electrónico por uma mensagem do LastPass a notificar sobre a falha e a indicar os próximos passos a seguir.
- Estar alerta contra o phishing: Com os dados de contacto expostos, os utilizadores tornam-se alvos fáceis para esquemas de engenharia social. É fundamental analisar com rigor qualquer e-mail, mensagem de texto ou chamada telefónica que solicite informações sensíveis.
- Alterar a palavra-passe mestra: Mesmo sem indícios de comprometimento dos cofres, mudar a senha principal é uma prática recomendada. A escolha deve recair sobre uma frase-passe longa, complexa e fácil de memorizar.
- Avaliar alternativas no mercado: Dado o histórico recente de incidentes do LastPass, pode ser o momento ideal para ponderar a transição para outro gestor de palavras-passe. Opções como o 1Password, o NordPass ou o Bitwarden apresentam um registo de segurança mais sólido e oferecem processos de migração bastante simples.
Um histórico preocupante
Este novo episódio junta-se a uma lista de problemas de segurança que têm afectado o LastPass nos últimos anos. Em 2022, a empresa sofreu dois ataques graves que resultaram no roubo de código-fonte e, posteriormente, na extracção de dados de clientes, como moradas de facturação e endereços IP. Antes disso, em 2020, uma falha técnica impediu o acesso às contas durante vários dias, e em 2019 foi descoberta uma vulnerabilidade que expunha credenciais de acesso. Embora este incidente mais recente tenha origem num parceiro externo, a confiança na marca volta a sofrer um duro golpe.
