Internet

LastPass alerta utilizadores para eventual quebra de segurança…

29 Comentários

… e pede a todos para mudarem a password mestra como medida preventiva.

O serviço LastPass é um dos melhores que existem na Internet quanto a tarefa é guardar password. Permite uma integração com todos os browsers do mercado e tem inclusive uma aplicação para Windows. Conseguimos ter na nuvem, de forma segura, todas as nossas passwords e acedemos-lhe facilmente. Cientes da informação que têm do seu lado, os gestores deste serviço estão constantemente a monitorizar tudo o que se passa no seu serviço e nas máquinas que o prestam.

Na passada quarta feira, e numa analise aos logs dos seus servidores, a LastPass detectou um fluxo anormal de tráfego num dos seus servidores. Segundo a LastPass, e porque não conseguiram identificar a causa desse tráfego anormal, houve provavelmente um ataque e é possível que tenha sido dado acesso a dados dos utilizadores.


Numa informação publicada no seu blog, a LastPass deu conhecimento aos seus utilizadores desta situação e recomendaram aos seus utilizadores que alterassem a palavra passe de acesso aos seus dados.

Detectaram inclusive trafego a ser direccionado da base dados para fora da rede em valores superiores aos anormais. O maior problema da LastPass neste processo foi o não conseguirem identificar a causa do pico de tráfego que foi detectado.

A informação divulgada indica que o volume de dados que foi retirado da base de dados deve corresponder aos endereços de email dos utilizadores, a chave de encriptação do servidor e as passwords cifradas. Não foi detectado que tenha sido retirada muita informação cifrada da base de dados, para além da indicada.

Como medida preventiva e assumindo que o serviço possa estar comprometido, foi decidido pela LastPass pedir aos utilizadores que alterassem de forma imediata as passwords. Os utilizadores que usem passwords fortes e não baseadas em palavras de dicionário não devem ser afectados.

Caso tenha existido a suspeita quebra de segurança e os dados tenham passado para mãos indevidas, o problema não deve ter efeito imediato. Nenhuma password foi disponibilizada em claro, segundo informações a LastPass, e graças à criptografia aplicada será necessário algum tempo para que estas sejam quebradas.

Apesar de não estar a ser pedido de forma activa que a password seja alterada, a LastPass recomenda esta acção. Caso o acesso a uma conta e aos dados se realize de um endereço IP que não esteja associado a esse utilizador, então essa alteração vai ser pedida e o acesso é inibido.

A tomada de posição da LastPass face ao sucedido é provavelmente excessiva, mas, tal como a empresa referiu, preferem tomar esta posição e forçar a alteração das palavras passe e evitar assim que surjam problemas para os muitos utilizadores do seu serviço.

Because we can’t account for this anomaly either, we’re going to be paranoid and assume the worst: that the data we stored in the database was somehow accessed.

We know roughly the amount of data transfered and that it’s big enough to have transfered people’s email addresses, the server salt and their salted password hashes from the database.

We also know that the amount of data taken isn’t remotely enough to have pulled many users encrypted data blobs.

Devido ao impacto que esta noticia está a ter em todos os utilizadores do serviço, estão a existir problemas nos servidores da LastPass e o acesso tem estado a apresentar alguns problemas. Foram já tomadas medidas com vista a minimizar este impacto e espera-se que nas próximas horas tudo esteja estabilizado.

Se são utilizadores deste serviço é recomendável que procedam à alteração da palavra passe de acesso ao serviço. Os vossos dados estão salvaguardados, fruto da criptografia aplicada e que garante que para ser quebrada seja necessário tempo e recursos computacionais.

A ser verdade, este é apenas mais um caso a engrossar a vasta lista de serviços que viram os seus dados serem roubados. A segurança, mesmo sendo forte e apertada, está sempre sujeita a quebras.

Homepage: Blog LastPass
Homepage: LastPass

PUB
Autor: Pedro Simões
Partilhar:
Tags:

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
EAV/ESS 5 Beta – Uma nova visão contra os vírus!
Artigo anterior

EAV/ESS 5 Beta – Uma nova visão contra os vírus!
Logitech Wireless Desktop MK 250 – Conjunto muito prático
Próximo artigo

Logitech Wireless Desktop MK 250 – Conjunto muito prático
PUB

Comentários

29

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Frederico
    Frederico

    Boas.
    Eu sei que este comentário nada tem a ver com a notícia aqui publicada. no entanto gostava de expressar o seguinte:
    Relativamente à rubrica android, não sei que rumo é que vão tomar no que diz respeito ao tipo de programas a serem criados. na minha opinião a rubrica é muito interessante e gostaria muito de ver alguns tutoriais acerca de programação de jogos do estilo angry birds.

    Responder
    1. Avatar de João Silva
      João Silva

      os offtopics deviam ser eliminados dos comentários.
      para isso há o forum.
      uma sugestão para a equipa pplware. avisem no fim de cada artigo/noticia que os offtopics serão eliminados. já que cada comentário é moderado…

      Responder
  2. Avatar de jota
    jota

    “Conseguimos ter na nuvem, de forma segura, todas as nossas passwords”
    pelos visto não é uma solução assim tão segura!

    a segurança na internet sempre foi o seu grande calcanhar de Aquiles

    Responder
    1. Avatar de Ecchin
      Ecchin

      A Internet cresceu num ambiente de ingenuidade pura. Ninguém achou que alguém quisesse usar a Internet para fim menos dignos. Até que a net chegou às massas… 😛

      Responder
  3. Avatar de Pedro
    Pedro

    Nada é 100% seguro… ainda mais na web…
    Tento mudar a password, mas pelos visto o servidor da LastPass está lento.
    “Sorry! We are a bit overloaded right now. Try again in a few hours.”

    Obrigado pelo alerta pplware!

    Responder
  4. Avatar de João Silva
    João Silva

    sou utilizador assiduo da ferramenta e a unica password q lá tenho armazenada que é sensivel é a do portal de financas. nada de passwords de bancos, cartoes de crédito, etc.

    nao estou a conseguir logar-me, também está a acontecer com voces?

    Responder
  5. Avatar de ze
    ze

    Continuo sem perceber porque guardam as passwords tantos nos browsers como em outros aplicativos.

    Responder
    1. Avatar de Miguel
      Miguel

      Eu acho que faz sentido.. nos browsers nem por isso, mas em aplicações como Lastpass, faz todo o sentido… a não ser que se use a mesma password para tudo!

      Responder
    2. Avatar de Hugo Simões
      Hugo Simões

      Eu uso apenas para simples passwords como sites de legendas, forums, etc.
      As passwords de paypal, mbnet, entre outros não deve ser guardado em formato digital, apenas na cabeça e com muito cuidado em papel.

      “quem utiliza isto para guarda as passes?”

      Burras são as pessoas que não usam, pois guardar os logins no browser é o pior erro que se pode fazer porque os hacks de passwords é feito pelas passes guardados no browser. Eu próprio conheço programas “virus” e existe vários sites que explicam como se faz e como não são detectados pelos antivirus que enviam ao próprio hacker toda a informação que está contida nos browsers.

      Por isso para mim e uma gestão de segurança num browser passa pelo primeiro paragrafo que disse em cima, usando o lastpass e configurar o browser para quando fechar a janela limpar toda as informações contidas nele.

      Responder
      1. Avatar de Jose
        Jose

        Browser ou não, é o mesmo. Não se deve guardar passes.

        Responder
  6. Avatar de dajosova
    dajosova

    Mesmo que se guardem as passwords no pc, basta este ter ligação à net que já há a probabilidade (ainda que mínima, caso yenham o pc protegido) de isto acontecer.

    Passwords importantes não as guardo em lado nenhum! Prefiro pedir a sua recuperação caso as esqueça (apesar de ser difícil isso acontecer ). Bom FDS 😉

    Responder
  7. Avatar de Miguel
    Miguel

    O CEO do Lastpass deu um entrevista em que explica o que aconteceu http://goo.gl/uMR2I.
    Mudar a password de acesso ao serviço não altera em nada os dados que poderão ter sido roubados, mas pode ser útil para quem realmente usou uma password do tipo “password” para não ter problemas futuros, até porque qualquer ataque à BD será feito offline.

    Responder
  8. Avatar de CMTuga
    CMTuga

    é mais seguro usar o KeePass…
    cada vez mais há menos segurança!

    Responder
    1. Avatar de Tiago
      Tiago

      LIKE;) lool

      Responder
  9. Avatar de Pedro
    Pedro

    Por algum motivo o meu comentário perdeu-se!!!

    Responder
  10. Avatar de lm
    lm

    todo o incentivo para guardar as passwords sites online sempre achei que é o criminoso visto que ninguém garante a segurança dos dados mas isso acontece com todo tipo de dados que se põem online quer fotos , textos dados pessoais, e-mail, etc, e as empresas que detém esses dados arranjam sempre maneira de se livrarem das culpas caso aconteça problemas como se vê neste artigo, por isso o caminho consiste em informar as pessoas desses perigos e a maneira de serem evitados.

    Responder
  11. Avatar de ALL
    ALL

    Então tendo em consideração so eventos presentes, é seguro agora criar lá uma conta?

    Eu uso o xmarks no FF, será possível usar o LastPass para o mm fim no Opera, tendo em consideração q n existe Xmarks p esse browser e tendo em consideração a parceria das duas empresas?

    Responder
    1. Avatar de Miguel
      Miguel

      Claro que é seguro, desde que se tenha uma master password decente e como já foi comentado anteriormente, é mais seguro que usar o gestor de password do brouwser (coisa que o Xmarks usa) e estamos menos sujeitos a keyloggers desde que se use um segundo factor de autenticação.

      Por curiosidade, o Xmarks esteve para desaparecer e a Lastpass adquiriu a empresa não é um parceria.

      Responder
      1. Avatar de ALL
        ALL

        Então e será que ao fazer login com a minha conta do Xmarks o LastPass vai ter as minhas passwords ou irei ter q instalar o LastPass no FF, mandar gravar as pw na conta e so dp usar o LP no Opera? (confuso?)

        Responder
        1. Avatar de Miguel
          Miguel

          Que eu saiba o Xmarks não está integrado com o Lastpass e vice-versa… para todos os efeitos penso serem serviços distintos da mesma empresa.
          O XMarks mantém sincronizados favoritos e password, mas as passwords ficam guardadas também no browser.
          O Lastpass é apenas para guardar passwords e não usa o browser para as guardar (o que é mais seguro)
          Se não existe o XMarks para o Opera, uma das opções será instalar o Lastpass no FF e a partir daí o wizzard do Lastpass trata de tudo.

          Responder
      2. Avatar de Jose
        Jose

        Guardar as passes no browser, não tem nada a ver com keylogger’s.

        Keylogger’s não precisam que guardes as passes no browser.

        Responder
        1. Avatar de Miguel
          Miguel

          Não me expliquei bem… Usar o Lastpass é que é uma boa ideia pois não tens de digitar as passwords, logo evitando keyloggers… guardar as passwords no browser tem o mesmo efeito mas não é propriamente tão seguro.

          Responder
  12. Avatar de Viperz0r
    Viperz0r

    Mais uma vez, parte do problema está entre o computador e a cadeira.

    Muitos podem pensar: “Ah não, eu cá meto tudo à mão”. Pois é, mas para isso também existe a possibilidade de a maquina estar comprometida e ter um keylogger instalado. Enquanto que com o LastPass não existe esse problema.

    Se todos usassem password robustas, mesmo que roubassem dados da Base de Dados(como se supõe que aconteceu), só iriam conseguir ter acesso à password encriptada. E felizmente os computadores não têm capacidade de processamento suficiente para quebrar um algoritmo criptográfico decente.

    Responder
    1. Avatar de Miguel
      Miguel

      Nem mais!! Concordo plenamente!

      Responder
  13. Avatar de Bruno Bonito
    Bruno Bonito

    Pelos vistos não é possível alterar a password mestre!

    http://goo.gl/0W2qH

    Responder
  14. Avatar de Joao
    Joao

    Mas alguém leu sobre o assunto, ou sabe sequer como é que o LastPass funciona??

    1º Nem se sabe sequer que dados, ou tipos de dados, foram roubados. Podem ter sido passwords, mas também podem ter sido só usernames. Tudo o que se sabe é que houve volume de tráfego anómalo a sair de um dos servidores do lastpass.

    2º O volume de tráfego registado era suficiente só para tirar dados de algumas centenas de utilizadores, num universo de 1 milhão.

    3º Os dados roubados, se é que foram roubados, pertenciam a um servidor que contém o username e a password mestre (de acesso ao last pass) fortemente encriptada.

    4º Essa password, se for uma password forte, e não uma palavra de dicionário, tipo “deus”, não há quase hipótese de crackar com bruteforce em tempo útil (mas tudo depende da password em questão claro).

    5º Se for detectado um login por um endereço de ip nunca antes utilizado, a conta é automaticamente suspensa até que se confirme a identidade.

    Posto isto, malta, relax.

    Responder
  15. Avatar de RS
    RS

    Eu gostaria de utilizar um serviço deste género para guardar passwords,mas estou em duvidas entre o KeePass e o LastPass.
    Qual destes serviços é mais seguro,e eu sei que não há nada 100% seguro:-).
    No caso do LastPass não será inseguro manter as passwords em serviços de terceiros, em que não se sabe quem acede aos servidores, e não me refiro a esta situação em particular, mas sim até mesmo dentro da própria empresa!!

    Responder
  16. Avatar de Tony Silva
    Tony Silva

    Eu sou utilizador deste serviço.

    Queria mudar a master password mas até agora nada. Alguém já o consegui fazer?

    Responder
    1. Avatar de Mandrake
      Mandrake

      Acabei de efetuar a troca e está tudo ok neste momento.
      Vlw Pplware! \o/

      Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.