Sistemas de desenvolvimento da LastPass atacados com código-fonte roubado
A Lastpass, empresa responsável pelo Gestor de senhas sobre o mesmo nome, confirmou ter sido alvo de um ataque nas suas redes internas faz cerca de duas semanas, onde podem ter sido roubados dados associados com a entidade e com os seus programas.
De acordo com o comunicado da empresa, o ataque terá ocorrido por volta do dia 10 de Agosto, embora possa ter durado durante mais tempo. Neste, os atacantes obtiveram acesso a dados de login de funcionários da empresa, os quais terão sido usados para acesso aos sistemas internos de desenvolvimento da LastPass.
Nestes sistemas, os atacantes terão obtido acesso a vários dados associados com a entidade e com as aplicações desenvolvidas pela mesma, nomeadamente com os programas respeitantes ao gestor de senhas do LastPass – o que pode incluir o código fonte do mesmo.
A empresa afirma não existirem evidências que dados dos clientes ou das suas senhas tenham sido comprometidos neste ataque. No entanto, os atacantes terão roubado uma parte do código fonte das aplicações e outras tecnologias proprietárias da Lastpass.
A empresa terá aplicado as medidas de contenção do ataque assim que o mesmo foi identificado, além de ter iniciado as tarefas de investigação do incidente. Estas medidas ainda se encontram a ser aplicadas para serem obtidos mais detalhes sobre a origem do ataque e os danos efetivamente causados.
A empresa sublinha ainda que terá reforçado a segurança interna, no entanto não deixou detalhes sobre o ataque propriamente dito ou os conteúdos roubados. De notar que a LastPass é considerado um dos maiores gestores de senha no mundo, com mais de 33 milhões de utilizadores ativos e usado por mais de 100.000 empresas.
Tendo em conta os dados sensíveis que se encontram associados a estes clientes, certamente que um ataque deste género será algo para preocupação. No entanto, todos os dados dos clientes encontram-se encriptados em “cofres”, que apenas podem ser abertos com a chave que é fornecida pelos próprios clientes – nem mesmo a LastPass possui acesso aos dados.
Ainda assim, é aconselhado que os utilizadores com contas na Lastpass ativem a autenticação em duas etapas para as suas contas, de forma a garantir uma camada adicional de segurança.