Desde a última segunda, usuários do serviço de armazenamento remoto de senhas LastPass informaram estarem recebendo e-mails denunciando tentativas de login em países remotos.

A denúncia começou com o chefe de tecnologia de uma empresa de anúncios, Greg Sadestky, que postou no fórum da Hacker News que foi avisado de um acesso indevido no Brasil.

publicidade

Após a denúncia de Greg, múltiplos usuários relataram receberem e-mail semelhantes, apontando para outros locais e países que não os próprios.

O e-mail dizia (em tradução nossa): “Alguém tentou usar sua senha mestre para se logar em sua conta de um dispositivo ou local que não reconhecemos. O LastPass bloqueou essa tentativa, mas você deve deve olhar de perto. Foi você?”

O problema gerou alta desconfiança, porque veio em conjunto com uma onda de identidades roubadas pelo malware Redline, com lotes de identidades vendidas na dark web incluindo usuários do LastPass.

LastPass: duas explicações para dizer não foram vazadas senhas

A explicação inicial dada pela empresa é que seria um caso de credential stuffing. Combinações de login e senha encontradas em vazamentos de outros serviços, compradas por criminosos, estariam sendo testadas com o LastPass, através de bots.

Há uma onda de credential stuffing por conta do já citado malware RedLine, que permite a invasores saber em quais servicós as pessoas têm contas mesmo quando não consegue roubar senhas. Assim, os hackers sabem onde atacar com as senhas que conhecem.

A versão, porém, não pareceu totalmente crível diante de outros usuários no fórum afirmando que usavam senhas únicas para o LastPass – o que deveria ser óbvio quando se trata de um serviço de armazenar senhas, porque, se alguém perde mesmo o acesso, perde todas suas senhas. Outros afirmaram que trocaram a senha e continuaram a receber os avisos. Isso indicaria uma invasão ativa.

A empresa então mudou sua versão. Segundo ela, não houve credential stuffing ou vazamento.

“Nossa investigação descobriu que esses alertas de segurança, que foram enviados para um subgrupo limitado dos usuários do LastPass, foram causados por um erro. Como resultado, ajustamos nossos sistemas de alerta de segurança e o problema foi resolvido“, diz o comunicado.

A explicação não foi o suficiente para fazer Greg considerar o caso encerrado.

Ele considera que a linguagem da empresa é para se desviar de um problema possivelmente pior, e põe em questão tantos falsos positivos.

Leia mais:

Já assistiu aos nossos vídeos no YouTube? Inscreva-se no nosso canal!