O LastPass está dizendo a seus usuários que não há evidências que sugiram que suas senhas tenham sido comprometidas, após o envio de e-mails para alguns usuários informando que suas senhas mestras foram comprometidas. Então, o que exatamente está acontecendo? De acordo com o LastPass, os avisos de e-mail “provavelmente foram disparados por engano”.
“Esses alertas foram acionados devido aos esforços contínuos do LastPass para defender seus clientes de malfeitores e tentativas de empastamento de credenciais. Também é importante lembrar que o modelo de segurança de conhecimento zero do LastPass significa que em nenhum momento o LastPass armazena, tem conhecimento ou ter acesso à (s) senha (s) mestra (s) de um usuário “, afirmou Gabor Angyal, VP de Engenharia da LastPass em uma postagem do blog.
O LastPass posteriormente lançou uma investigação sobre vários usuários que recebem e-mails de acesso bloqueado, que normalmente são enviados a indivíduos que se conectam a partir de diferentes dispositivos e locais. A empresa determinou inicialmente que os alertas foram acionados por tentativa de “farejar credencial”, por meio da qual um usuário não autorizado tenta obter acesso a uma conta usando credenciais de login obtidas de uma violação de segurança de terceiros.
“Trabalhamos rapidamente para investigar esta atividade e, neste momento, não temos nenhuma indicação de que qualquer conta LastPass foi comprometida por um terceiro não autorizado como resultado dessas tentativas de enchimento de credenciais, nem encontramos qualquer indicação de que as credenciais LastPass do usuário foram coletadas por malware, extensões de navegador desonestas ou campanhas de phishing “, disse Angyal.
No entanto, o LastPass continuou a investigar “por muita cautela” e foi quando determinou que alguns dos alertas de segurança foram enviados por engano. Desde então, ajustou seu sistema de alerta de segurança para ser menos acionado.
Se você usa o LastPass, você pode querer considerar mudar sua senha mestra por sua própria precaução e paz de espírito, embora neste momento isso não pareça necessário. E como orientação geral, evite usar sua senha mestra em qualquer outro lugar. Também é uma boa ideia habilitar a autenticação de dois fatores sempre que possível.