LastPass: usuários revelam possível vazamento de senhas

A denúncia começou com o chefe de tecnologia de uma empresa de anúncios, Greg Sadestky, que postou no fórum da Hacker News que foi avisado de um acesso indevido no Brasil.

Something very strange and bad is happening to a lot of people's @LastPass accounts. I posted this to Hacker News and it gathered 192 comments, including 7 separate reports of master password breaches & login attempts from the same Brazil IP range. Uhh. https://t.co/tcM0aFdavv`
— Greg Technology (@technology_greg) December 27, 2021

Após a denúncia de Greg, múltiplos usuários relataram receberem e-mail semelhantes, apontando para outros locais e países que não os próprios.

O e-mail dizia (em tradução nossa): “Alguém tentou usar sua senha mestre para se logar em sua conta de um dispositivo ou local que não reconhecemos. O LastPass bloqueou essa tentativa, mas você deve deve olhar de perto. Foi você?”

O problema gerou alta desconfiança, porque veio em conjunto com uma onda de identidades roubadas pelo malware Redline, com lotes de identidades vendidas na dark web incluindo usuários do LastPass.

At the same time thousands of LastPass login pairs were found in the recent Redline Stealer malware logs I reported earlier… Coincidence? https://t.co/1Nes7E0rFx
— Bob Diachenko 🇺🇦 (@MayhemDayOne) December 28, 2021

LastPass: duas explicações para dizer não foram vazadas senhas

A explicação inicial dada pela empresa é que seria um caso de credential stuffing. Combinações de login e senha encontradas em vazamentos de outros serviços, compradas por criminosos, estariam sendo testadas com o LastPass, através de bots.

Há uma onda de credential stuffing por conta do já citado malware RedLine, que permite a invasores saber em quais servicós as pessoas têm contas mesmo quando não consegue roubar senhas. Assim, os hackers sabem onde atacar com as senhas que conhecem.

A versão, porém, não pareceu totalmente crível diante de outros usuários no fórum afirmando que usavam senhas únicas para o LastPass – o que deveria ser óbvio quando se trata de um serviço de armazenar senhas, porque, se alguém perde mesmo o acesso, perde todas suas senhas. Outros afirmaram que trocaram a senha e continuaram a receber os avisos. Isso indicaria uma invasão ativa.

A empresa então mudou sua versão. Segundo ela, não houve credential stuffing ou vazamento.

UPDATE: To reiterate, we have no indication that #LastPass was breached or compromised.

Here’s how LastPass protects you and steps you can take to stay secure: https://t.co/gNNjx333ps pic.twitter.com/rcWSIo9Q1x
— LastPass (@LastPass) December 29, 2021

“Nossa investigação descobriu que esses alertas de segurança, que foram enviados para um subgrupo limitado dos usuários do LastPass, foram causados por um erro. Como resultado, ajustamos nossos sistemas de alerta de segurança e o problema foi resolvido“, diz o comunicado.

A explicação não foi o suficiente para fazer Greg considerar o caso encerrado.

3 cases on Twitter of users changing their passwords and then receiving a 2nd “someone used your master password to login from new IP” email. Was the attacker unaware of the pw change, was hitting the same users with cred stuffing, and all of those emails were false positives?
— Greg Technology (@technology_greg) December 29, 2021

Ele considera que a linguagem da empresa é para se desviar de um problema possivelmente pior, e põe em questão tantos falsos positivos.

Leia mais:

Já assistiu aos nossos vídeos no YouTube? Inscreva-se no nosso canal!

Usuários do LastPass alertados de acessos indevidos (até do Brasil), em possível vazamento de senhas; empresa nega

LastPass: duas explicações para dizer não foram vazadas senhas