A violação de segurança do LastPass: como se proteger
Publicados: 2023-01-05O que você precisa saber e fazer sobre a violação do LastPass
Se você é um usuário LastPass, como muitos de nós na comunidade WordPress, você pode estar procurando uma solução alternativa de gerenciamento de senhas hoje. Depois de uma violação de segurança maciça no LastPass que a empresa não divulgou em tempo hábil - o que colocou potencialmente seus dados em risco - você deve considerar a mudança para Bitwarden ou 1Password. Melhor ainda, comece a usar senhas sempre que possível - elas tornam os logins sem senha a solução de segurança definitiva. Por fim, se você for responsável pela segurança dos dados de outras pessoas ou se tiver uma função de comunicação, poderá aprender com os erros do LastPass — principalmente o que não fazer. Vamos dar uma olhada no que aconteceu, o que deveria ter acontecido e como você deve proteger proativamente suas contas online.
Cavar um buraco mais fundo não vai tirar você de lá
Em agosto de 2022, o CEO do LastPass, Karim Toubba, postou a primeira do que se tornaria uma série de divulgações públicas cada vez mais sérias sobre uma violação de segurança profunda e contínua. A divulgação inicial dizia que “uma parte não autorizada” acessou parcialmente o ambiente de desenvolvimento dos engenheiros do LastPass explorando “uma única conta de desenvolvedor comprometida”. O invasor roubou algum código-fonte e “informações técnicas proprietárias do LastPass”. No entanto, Toubba disse que não houve impacto na própria plataforma de gerenciamento de senhas LastPass ou em seus clientes. Inequivocamente, ele garantiu aos clientes do LastPass que suas senhas mestras, dados e informações pessoais estavam seguros. Nossas informações críticas de conta estavam totalmente seguras, intocadas por intrusos.
Infelizmente, isso não era verdade.
O que realmente aconteceu no LastPass
A partir do final de novembro, Toubba fez várias outras atualizações na divulgação do LastPass que Zack Whittaker, do TechCrunch, analisou para mostrar o que o LastPass não estava explicando. O LastPass acabou deixando claro que o invasor roubou alguns dados do cliente em uma segunda violação habilitada por “informações obtidas” na violação anterior. Primeiro, o invasor tinha como alvo um desenvolvedor do LastPass e depois outro para invadir os sistemas do LastPass, incluindo o armazenamento em nuvem da empresa-mãe do LastPass, GoTo. (GoTo também possui LogMeIn e GoToMyPC.)
Em um movimento perturbador, o GoTo escondeu sua própria divulgação dos mecanismos de busca.
Então, pouco antes do Natal, Toubba atualizou a divulgação da violação do LastPass novamente. Ele confirmou que os invasores roubaram um instantâneo de backup dos cofres criptografados de senhas dos clientes do LastPass. Toubba também reconheceu que qualquer pessoa com o instantâneo poderia usar métodos de força bruta para quebrar os cofres criptografados de senhas de clientes. Incluídos na violação estavam os nomes dos clientes do LastPass, nomes de empresas e endereços de e-mail, números de telefone e endereços IP, URLs, notas, dados de formulários e algumas informações de cobrança.
Isso é muito ruim.
O impacto da má comunicação de crise do LastPass
O LastPass não divulgou fatos importantes, como quantas contas de usuário estão nos dados roubados. Consequentemente, devemos assumir que todos os mais de 25 milhões de usuários do LastPass (em novembro de 2022) estão em risco devido a essas violações de segurança. Além disso, até mesmo ex-clientes podem estar em risco agora se os arquivos de backup roubados contiverem seus dados pessoais e de cofre de senha antigos.
Eu usei o LastPass por muitos anos para acessar as senhas de outras pessoas que estão compartilhando comigo para fins de trabalho. Embora eu mesmo não tenha pago para usar o serviço, tive que manter uma conta no LastPass por esse motivo. Recebi as notificações de violação de segurança do LastPass por e-mail como outros clientes e fiquei imediatamente preocupado. Percebi que o tópico surgiu para discussão no Post Status Slack, um fórum popular da comunidade para profissionais do WordPress. Robert Rowley, um advogado do desenvolvedor do Patchstack, compartilhou a notícia lá. Ele observou: “Nenhuma senha mestra ou senha armazenada vazou. Nenhuma ação é necessária.” Como milhões de outros usuários do Patchstack, todos nós confiamos no que a empresa nos disse e estávamos errados.
Mais tarde, outros no Patchstack e na comunidade WordPress compartilharam notícias de GoTo suprimindo sua própria divulgação de violação. Em dezembro, Rowley comentou novamente, observando o quanto as coisas haviam ido longe da declaração inicial em que todos acreditávamos. “Nenhum cofre do cliente foi acessado.” Comparando a série de revelações contraditórias a levar um soco, Rowley observou: “Isso pode ser visto como uma combinação esquerda-direita de perda de confiança, cada atualização torna o incidente pior”.
O que deveria ter acontecido no LastPass
Na comunidade de código aberto, valorizamos a transparência ao extremo. Especialmente no que diz respeito à segurança, tentamos manter e proteger uma cultura de divulgação responsável. Se descobrirmos vulnerabilidades em produtos de software de código aberto, notificaremos discretamente seus proprietários e mantenedores. Esperamos que eles alertem seus usuários imediatamente e façam uma divulgação completa assim que corrigirem qualquer código explorável. Esperamos que isso aconteça muito rapidamente, como uma prioridade máxima. Dessa forma, os membros da comunidade de código aberto tentam ajudar uns aos outros a resolver problemas que afetam a todos, em vez de encobri-los, o que acontece frequentemente com software proprietário.
Uma ética semelhante se aplica quando indivíduos malignos roubam informações de identificação pessoal (PII) de alto valor. Embora as leis de notificação de violação de segurança variem em diferentes estados e países, todas elas exigem divulgação oportuna às pessoas afetadas. Não é uma simples cortesia — é uma obrigação legal e ética.
Em Segurança, Confiança é Tudo
Todas as violações de segurança podem prejudicar a confiança. São todas situações ruins que só podem piorar quando agravadas pela demora. Divulgar informações incorretas e incompletas pode ser catastrófico para uma empresa e marca, como vimos com o LastPass.
Por que alguém deveria confiar em uma empresa que exibe um comportamento tão irresponsável, egoísta e inevitavelmente autodestrutivo quando falhou gravemente com seus clientes? A comunicação honesta, direta e clara, com foco na mitigação de danos aos clientes, é a única maneira possível de melhorar as coisas.
Em última análise, a confiança não é uma tecnologia ou um conceito técnico. É sobre relacionamentos humanos. A confiança depende de como você trata as pessoas, especialmente aquelas que depositam sua confiança em você. Nem sempre cumprimos nossas promessas e o fracasso é sempre possível. A única maneira de renovar a confiança quando o pior acontece é admitir o que aconteceu e expor tudo honestamente.
Como os usuários do LastPass devem responder à violação de segurança?
Dada a maneira como o LastPass divulgou essa violação, medidas de segurança adicionais no LastPass para proteger seu cofre de senhas não ajudarão. É hora de começar primeiro, migrar para um novo gerenciador de senhas como 1Password, Bitwarden ou NordPass e, segundo e mais importante, começar a alterar as senhas em sites e aplicativos críticos cujas credenciais você armazenou em seu cofre do LastPass. Adicionar autenticação de dois fatores a esses sites seria uma jogada muito sábia se você ainda não o fez.
Se o seu cofre não estiver protegido por uma senha mestra forte, todas as suas contas online serão eventualmente comprometidas. Mesmo se você tivesse uma senha mestra forte, ela ainda poderia ser quebrada pela força bruta.
Não é uma questão de saber se seus dados serão descriptografados, é uma questão de quando . Dado que essa violação ocorreu cinco meses antes da divulgação do LastPass de que os cofres dos clientes foram afetados, os invasores mal-intencionados já têm uma vantagem. Assim, é fundamental começar a proteger as credenciais de todas as contas que você armazenou no LastPass.
É por isso que a próxima e mais importante coisa a fazer é começar a alterar todas as senhas de todas as contas que você armazenou no LastPass. Priorize as mais vitais primeiro – como contas financeiras, contas de administrador de sites e outras cuja perda pode custar caro.
É hora de sair do LastPass
Finalmente, recomendamos fechar sua conta LastPass e mudar para outro serviço como Bitwarden ou 1Password. Bitwarden tem uma ferramenta de migração para importar seus registros de conta LastPass. O 1Password também.
É hora de sair do LastPass. Se você tiver dinheiro para gastar no 1Password, é uma alternativa mais robusta para muitos dos outros gerenciadores de senhas disponíveis. Sua configuração de segurança também depende de uma chave secreta para proteger os cofres. O 1Password tem sido uma escolha de muitos profissionais de segurança e possui ótimos sistemas para compartilhar o acesso ao cofre para equipes que exigem acesso a várias contas.
Outra alternativa é Bitwarden. Uma ferramenta de código aberto, o código-fonte da Bitwarden está disponível para revisão no Github, onde é frequentemente auditado por pesquisadores de segurança. A conta paga custa apenas $ 10 por ano, o que facilita o suporte ao projeto para pessoas com orçamento limitado. Você também pode hospedar seu cofre Bitwarden por conta própria, se desejar.
Uma oportunidade para repensar suas próprias práticas de segurança
Mesmo que você não seja um cliente, a violação do LastPass é uma boa oportunidade para pensar em suas próprias políticas de segurança. Uma característica importante de gerenciadores de senhas como o LastPass é a capacidade de compartilhar o acesso a contas online com outras pessoas. As limitações de muitos serviços online e as necessidades do local de trabalho nos levam a compartilhar o acesso à conta como uma conveniência. No entanto, compartilhar contas é, via de regra, uma prática de segurança muito ruim. Não dê a mais de uma pessoa acesso a contas de mídia social de um único usuário, como o Twitter! Em vez disso, use um aplicativo gerenciador de mídia social multiusuário. Então você pode permitir que qualquer número de pessoas envie tweets sem correr o risco de perder sua conta principal. E quando essas pessoas saírem ou mudarem de função, gerenciar seus privilégios de acesso será muito mais simples.
Qualquer pessoa a quem você deu acesso a senhas compartilhadas em um aplicativo como o LastPass pode manter essas senhas - para sempre. Eles podem escrevê-los. Eles podem salvá-los no gerenciador de senhas do navegador por conveniência. As pessoas vêm e vão em todas as equipes e organizações. A prática de segurança adequada exige que você exclua contas não utilizadas e altere as senhas sem demora. Você pratica isso? Quão bem você faz isso? Você tornou isso o mais fácil e claro possível? Você delegou essa responsabilidade crucial a uma pessoa específica? Quem verifica e audita os privilégios de acesso de sua equipe? Com que frequência eles fazem isso?
Pense em seus próprios cenários de pior caso. Como você lidaria com a comunicação sobre uma violação que expusesse os dados de seus clientes? Como você pode voltar a uma estratégia de prevenção proativa para que isso nunca aconteça?
Nenhuma empresa é pequena demais para ignorar essas responsabilidades cruciais. O que você pode fazer hoje para reduzir o risco de uma violação catastrófica amanhã?
Chaves de acesso para a vitória! O futuro da segurança digital
Este evento ressalta os problemas com senhas. Os gerenciadores de senhas estão tentando oferecer suporte a senhas mais complexas, e a autenticação de dois fatores tentou fornecer outra camada de segurança. No entanto, de acordo com o relatório de segurança de dados da Verizon, menos de 30% dos usuários realmente usam 2FA. As senhas são realmente quebradas. As chaves de acesso são a solução para o futuro.
Uma chave de acesso é um tipo de método de autenticação que envolve o uso de um dispositivo físico, como um chaveiro ou um cartão inteligente, para verificar a identidade de um usuário. Um computador ou telefone com métodos de login biométrico cada vez mais comuns também pode ser usado para autenticar sua identidade em um site. As senhas são consideradas mais seguras do que outros métodos de autenticação, como senhas, porque fornecem uma camada adicional de segurança.
Se o seu computador for um dispositivo conhecido e confiável com uma chave de acesso para sua conta bancária (ou site WordPress se você usar o iThemes Security Pro), você pode ignorar os logins tradicionais do site. Basta que o site reconheça seu dispositivo e possivelmente peça uma impressão digital por meio do Touch ID em dispositivos Apple ou Windows Hello para Microsoft.
A verdadeira paz de espírito é sem senha
Uma vantagem das senhas é que elas não podem ser facilmente adivinhadas ou quebradas como uma senha. As senhas podem ser vulneráveis a ataques de dicionário, em que um hacker testa uma lista de senhas comuns para tentar obter acesso a uma conta. As chaves de acesso, por outro lado, são tipicamente únicas e não podem ser facilmente replicadas, tornando-as muito mais difíceis de comprometer.
Além disso, as senhas podem ser usadas em conjunto com outros métodos de autenticação, como uma senha de dispositivo ou autenticação biométrica, para fornecer um nível ainda maior de segurança. Isso é conhecido como autenticação multifator e pode aumentar muito a dificuldade de um hacker obter acesso a uma conta.
As chaves de acesso podem em breve tornar desnecessários os gerenciadores de senhas como o LastPass. Isso tornará a web mais segura, já que grandes violações de segurança de plataforma, como o LastPass, podem se tornar uma coisa do passado. Se você administra um site WordPress ou WooCommerce, pode oferecer a si mesmo e a seus usuários a alta segurança e a conveniência incomparável de logins sem senha com o recurso de senha do iThemes Pro.
O estado dos gerenciadores de senhas em 2023
Um curso de treinamento on-line interativo ao vivo
10 de janeiro de 2023 às 13h (Central)
Neste webinar, discutiremos a recente violação do LastPass e o que podemos aprender sobre isso ao proteger nossas vidas digitais (incluindo nossos sites WordPress), e também avaliaremos o estado atual de senhas, gerenciadores de senhas, autenticação de dois fatores e mais para que possamos entrar em 2023 com segurança.
Também falaremos sobre a solução para colocar senhas atrás de nós com chaves de acesso e o estado de implementação do WebAuthn tanto por gigantes da tecnologia quanto por iThemes Security.
Dan Knauss é generalista de conteúdo técnico da StellarWP. Ele é escritor, professor e freelancer trabalhando com código aberto desde o final dos anos 1990 e com WordPress desde 2004.