Aos nossos clientes LastPass
Quero compartilhar com vocês uma atualização importante sobre o incidente de segurança que divulgamos em 22 de dezembro de 2022. Chegamos ao fim de uma investigação minuciosa e não identificamos nenhuma atividade do agente da ameaça desde 26 de outubro de 2022.
No decorrer da nossa investigação, obtivemos muito mais informações sobre o que aconteceu e estamos aqui hoje para compartilhar as novas descobertas. No mesmo período, investimos uma quantidade significativa de tempo e esforço em fortalecer nossa segurança e aprimorar as operações gerais de segurança. Na atualização de hoje, abordarei tais medidas e destacarei etapas de segurança adicionais que estão sendo realizadas.
Essa atualização está organizada da seguinte forma:
- O que aconteceu e quais providências foram tomadas?
- Quais dados foram acessados?
- Quais providências vocês devem tomar para garantir a proteção pessoal ou da empresa?
- O que fizemos para proteger o LastPass
- O que vocês podem esperar de nós
- Removemos o ambiente de desenvolvimento e criamos um novo para garantir total contenção e erradicação.
- Implantamos controles e tecnologias de segurança adicionais para complementar os controles existentes.
- Alternamos todos os segredos de texto não criptografado relevantes usados por nossas equipes e quaisquer certificados expostos.
- Analisamos os recursos de armazenamento baseado em nuvem do LastPass e aplicamos políticas e controles adicionais.
- Analisamos e alteramos os controles de acesso privilegiado existentes.
- Alternamos segredos e certificados relevantes que foram acessados pelo agente da ameaça.
- Desenvolvimento sob demanda baseado em nuvem e repositórios de código-fonte — isso incluiu 14 dos 200 repositórios de software.
- Scripts internos dos repositórios — continham segredos e certificados do LastPass.
- Documentação interna — informações técnicas que descreviam como o ambiente de desenvolvimento operava.
- Segredos de DevOps — segredos restritos que foram usados para obter acesso ao armazenamento de backup baseado em nuvem.
- Armazenamento de backup baseado em nuvem — continha dados de configuração, segredos de API, segredos de integração de terceiros, metadados de clientes e backups de todos os dados do cofre dos clientes. Todos os dados confidenciais do cofre dos clientes, exceto URLs, caminhos de arquivo para o software LastPass Windows ou macOS instalado e certos casos de uso envolvendo endereços de e-mail, foram criptografados usando nosso modelo de conhecimento zero e só podem ser descriptografados com uma chave de criptografia exclusiva derivada da senha mestre de cada usuário. Vale lembrar que as senhas mestre dos usuários finais nunca são de conhecimento do LastPass e não são armazenadas ou mantidas pelo LastPass, portanto, elas não estavam entre os dados que foram exfiltrados.
- Backup do LastPass MFA/banco de dados de federação — continha cópias de seeds do LastPass Authenticator, números de telefone usados para a opção de backup da MFA (se ativada), bem como um componente de conhecimento compartilhado (a “chave” K2) usado para a federação do LastPass (se ativada). Esse banco de dados foi criptografado, mas a chave de descriptografia armazenada separadamente estava nos segredos roubados pelo agente da ameaça durante o segundo incidente.
- Boletim de segurança: Ações recomendadas para clientes LastPass Free, Premium e Families. Este boletim explica em detalhes como nossos usuários Free, Premium e Families podem realizar uma revisão de configurações importantes do LastPass projetadas para ajudar a proteger a conta ao confirmar que as práticas recomendadas estão sendo seguidas.
- Boletim de segurança: Ações recomendadas para administradores do LastPass Business. Este boletim detalha como os administradores de nossos clientes Business e Teams podem realizar uma avaliação de risco da configuração de conta do LastPass e das integrações de terceiros, além de trazer informações relevantes para clientes federados e não federados.