Forbes: Novo hack do LastPass confirmado – aqui está o que sabemos até agora
Na quarta-feira, 30 de novembro, o CEO do LastPass, Karim Toubba, confirmou que uma parte não autorizada obteve acesso a “certos elementos das informações de nossos clientes” dentro de um serviço de armazenamento em nuvem de terceiros. A violação de dados foi, afirmou Toubba, possível através de informações obtidas de um incidente de hacking anterior em agosto este ano. Naquela época, Toubba disse que partes do código-fonte e algumas informações técnicas proprietárias do LastPass foram acessadas. Não está claro, no entanto, quais informações específicas permitiram que o ator da ameaça obtivesse acesso ao serviço de armazenamento em nuvem na última violação.
“Dada a grande quantidade de senhas que protege globalmente, o LastPass continua sendo um grande alvo”, disse Yoav Iellin, pesquisador sênior da Silverfort, diz. “A empresa admitiu que o autor da ameaça obteve acesso usando informações obtidas no compromisso anterior. Exatamente o que são essas informações ainda não está claro, mas normalmente é uma prática recomendada, após sofrer uma violação, que a organização gere novas chaves de acesso e substitua outras credenciais comprometidas. Isso garante que coisas como armazenamento em nuvem e chaves de acesso de backup não possam ser reutilizadas.”
