Como aconteceu o vazamento de dados do LastPass e como evitá-lo?

O vazamento de dados do LastPass de 2022-2023 serve como um lembrete de como ataques cibernéticos sofisticados podem se transformar em desastres de segurança de longo prazo. Esta análise abrangente detalha o incidente, seu impacto e as lições cruciais para as organizações que buscam fortalecer sua postura de segurança.

O impacto: em números#

As consequências da violação foram graves e duradouras:

• 33 milhões de usuários afetados
• 4,4 milhões de dólares americanos roubados de mais de 25 vítimas
• 5 milhões de dólares americanos supostamente roubados em uma única semana
• 15 milhões de dólares americanos roubados em criptomoedas

Principais conclusões#

• Uma única conta de desenvolvedor comprometida levou a um vazamento que afetou 33 milhões de usuários do LastPass
• Os invasores obtiveram acesso a cofres de senhas criptografados e informações de clientes
• Mais de 15 milhões de dólares americanos foram roubados em assaltos de criptomoedas vinculados a esta violação
• O incidente destacou vulnerabilidades críticas na segurança do trabalho remoto e na resposta a incidentes

Comprometimento inicial - agosto de 2022#

O vazamento começou quando os invasores obtiveram acesso não autorizado ao ambiente de desenvolvimento do LastPass por meio de uma única conta de desenvolvedor comprometida. Nesta fase, os invasores obtiveram:

• Partes do código-fonte do LastPass
• Informações técnicas proprietárias
• Acesso a recursos do ambiente de desenvolvimento

Escalada - novembro/dezembro de 2022#

O que inicialmente parecia contido rapidamente escalou quando os invasores utilizaram as informações roubadas para:

• Acessar o serviço de armazenamento em nuvem de terceiros do LastPass
• Obter cópias de backup dos dados do cofre do cliente
• Comprometer informações de contas de clientes não criptografadas

Desenvolvimento crítico - março de 2023#

Em uma atualização reveladora, o LastPass divulgou que os invasores haviam:

• Comprometido o computador doméstico de um engenheiro sênior de DevOps
• Explorado uma vulnerabilidade em um software de mídia de terceiros
• Implantado um malware de keylogger para capturar senhas mestras
• Obtido acesso a chaves de descriptografia críticas

Quais dados foram comprometidos?#

Informações do cliente#

• Nomes de empresas
• Nomes de usuários finais
• Endereços de cobrança
• Endereços de e-mail
• Números de telefone
• Endereços IP

Dados técnicos#

• Backups de cofres de clientes
• Segredos de DevOps
• Armazenamento de backup em nuvem
• Backups de MFA/Banco de Dados de Federação

Lições essenciais de segurança para organizações#

1. Implemente uma segmentação de rede robusta#

• Separe sistemas e dados críticos
• Crie zonas de segurança com diferentes níveis de acesso
• Implemente controles de acesso rigorosos entre os segmentos
• Monitore o tráfego entre os segmentos de rede

2. Fortaleça a segurança do trabalho remoto#

• Estabeleça políticas claras para dispositivos de trabalho em casa
• Restrinja a instalação de software pessoal em dispositivos de trabalho
• Implemente proteção de endpoint robusta
• Realize auditorias de segurança regulares da configuração de trabalho remoto

3. Melhore a resposta e comunicação de incidentes#

• Desenvolva procedimentos claros de resposta a incidentes
• Mantenha uma comunicação transparente com as partes interessadas
• Documente e atualize os incidentes de segurança prontamente
• Forneça atualizações regulares durante incidentes em andamento

4. Gestão aprimorada de senhas e acessos#

• Implemente a autenticação multifator em todos os sistemas
• Exija senhas fortes e exclusivas para cada conta
• Rotação regular de senhas e auditorias de segurança
• Use gerenciadores de senhas com recursos de segurança robustos

Medidas preventivas para organizações#

1. Controles técnicos#

• Implemente a arquitetura zero-trust
• Implante proteção avançada de endpoint
• Avaliações regulares de segurança e testes de penetração
• Monitoramento e registro contínuos

2. Controles administrativos#

• Treinamento regular de segurança para funcionários
• Políticas e procedimentos de segurança claros
• Gestão de riscos de fornecedores
• Planejamento de resposta a incidentes

Conclusão#

O vazamento de dados do LastPass serve como uma lição crucial sobre a importância de medidas de segurança abrangentes e de uma resposta adequada a incidentes. As organizações devem adotar uma abordagem proativa em relação à segurança, implementando múltiplas camadas de proteção enquanto se preparam para possíveis violações. Ao aprender com esse incidente, as empresas podem proteger melhor seus ativos e manter a confiança de seus clientes.

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →

Perguntas frequentes#

Como os invasores escalaram de uma conta de desenvolvedor para acessar os cofres de clientes no vazamento do LastPass?#

Os invasores usaram o código-fonte e informações técnicas roubadas do ambiente de desenvolvimento do LastPass em agosto de 2022 para acessar um serviço de armazenamento em nuvem de terceiros contendo backups dos cofres de clientes. Essa escalada de vários estágios se desenrolou ao longo de vários meses antes de o escopo total ser divulgado no início de 2023.

Por que os cofres criptografados do LastPass ainda eram considerados em risco após a violação?#

Os invasores obtiveram os backups dos cofres criptografados e, principalmente, as chaves de descriptografia ao implantar um keylogger no computador doméstico de um engenheiro sênior de DevOps. Capturar as senhas mestras junto com as chaves de descriptografia significava que a criptografia por si só não poderia proteger totalmente os dados dos clientes.

Quais falhas de segurança no trabalho remoto pioraram o vazamento do LastPass?#

O computador pessoal de um engenheiro sênior de DevOps foi comprometido por meio de uma vulnerabilidade em um software de mídia de terceiros, um risco que políticas robustas de proteção de endpoint para dispositivos de trabalho remoto são projetadas para prevenir. Restringir a instalação de softwares pessoais e impor auditorias de segurança em configurações domésticas são mitigações essenciais.

Quais tipos específicos de dados foram expostos no vazamento do LastPass de 2022-2023?#

Os dados expostos abrangeram duas categorias: informações de clientes, incluindo nomes, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP, além de dados técnicos cobrindo backups de cofres de clientes, segredos de DevOps, armazenamento de backup em nuvem e backups de MFA/Banco de Dados de Federação. Essa combinação de dados pessoais e de infraestrutura tornou a violação especialmente prejudicial.