O mundo da segurança cibernética foi abalado por um incidente significativo envolvendo o gerenciador de senhas LastPass. Hackers conseguiram acessar e drenar milhões de dólares em criptomoedas de carteiras digitais, levantando questões críticas sobre a segurança de armazenar frases-semente em aplicativos de gerenciamento de senhas.
Em dezembro de 2022, a LastPass sofreu uma violação de segurança que passou relativamente despercebida até que consequências devastadoras vieram à tona.
Notice of Recent Security Incident – The LastPass Blog#lastpasshack #hack #lastpass #infosec https://t.co/sQALfnpOTy
— Thomas Zickell 🇺🇦 🇩🇪🇮🇱 (@thomaszickell) December 23, 2022
Informações detalhadas de login e dados de formulários preenchidos foram copiados de um serviço de armazenamento em nuvem de terceiros utilizado pela empresa. Na época, a LastPass assegurou aos usuários que a criptografia e os métodos de hash utilizados ofereciam uma proteção robusta, embora a realidade provasse ser diferente.
O roubo milionário
No dia 25 de outubro, foi confirmado que hackers roubaram mais de US$ 4,4 milhões de aproximadamente 80 carteiras digitais, afetando cerca de 25 usuários do LastPass.
Just on October 25, 2023 alone another ~$4.4M was drained from 25+ victims as a result of the LastPass hack.
Cannot stress this enough, if you believe you may have ever stored your seed phrase or keys in LastPass migrate your crypto assets immediately. pic.twitter.com/26HsxrlnCb
— ZachXBT (@zachxbt) October 27, 2023
Os detetives de blockchain ZachXBT e Tayvano acompanharam os movimentos dos hackers, revelando a extensão do roubo.
I know the idea of rotating all your shit is overwhelming, esp for long-time LastPass users.
You cannot let that block you.
If you cant commit to doing every credential, just start w your most valuable one.
Literally pause twitter scrolling & just do one *right now.*
Please🙏
— Tay 💖 (@tayvano_) October 22, 2023
A maioria, senão todos os afetados, eram usuários de longa data do LastPass e confirmaram ter armazenado suas frases-semente na plataforma.
Recomendações e prevenções
Especialistas em segurança cibernética estão aconselhando os usuários do LastPass a tomarem medidas imediatas para mitigar perdas adicionais. Isso inclui a alteração de senhas importantes e a migração de ativos criptográficos para novas carteiras.
O LastPass aconselhou ainda seus usuários a nunca reutilizar sua senha mestra em outros sites e também a minimizar o risco alterando as senhas dos sites que eles armazenaram.
O incidente serve como um lembrete severo da importância de manter informações críticas de segurança fora de plataformas potencialmente vulneráveis.
