Baixar o LastPass Freedownload
Blog
Últimas notícias
Blog
Últimas notícias
Notícias do setor
LastPass para administradores
LastPass Labs
Atualizações de produtos
Dicas e truques
Notícias sobre segurança

Atualização sobre o incidente de segurança e ações recomendadas

Karim ToubbaMarch 01, 2023
Aos nossos clientes LastPass Quero compartilhar com vocês uma atualização importante sobre o incidente de segurança que divulgamos em 22 de dezembro de 2022.  Chegamos ao fim de uma investigação minuciosa e não identificamos nenhuma atividade do agente da ameaça desde 26 de outubro de 2022. No decorrer da nossa investigação, obtivemos muito mais informações sobre o que aconteceu e estamos aqui hoje para compartilhar as novas descobertas. No mesmo período, investimos uma quantidade significativa de tempo e esforço em fortalecer nossa segurança e aprimorar as operações gerais de segurança. Na atualização de hoje, abordarei tais medidas e destacarei etapas de segurança adicionais que estão sendo realizadas. Essa atualização está organizada da seguinte forma:
  • O que aconteceu e quais providências foram tomadas?
  • Quais dados foram acessados?
  • Quais providências vocês devem tomar para garantir a proteção pessoal ou da empresa?
  • O que fizemos para proteger o LastPass 
  • O que vocês podem esperar de nós
Temos o privilégio de atender milhões de usuários e mais de 100.000 empresas, e queremos garantir que todos os nossos clientes tenham as informações necessárias para esclarecer quaisquer dúvidas. Dado o volume de informações que compartilharemos hoje, organizamos essa atualização em resumos que trazem links incorporados com informações mais detalhadas sobre cada tópico. Nós ouvimos e levamos a sério o feedback de que deveríamos ter nos comunicado com mais frequência e detalhes ao longo desse processo. A duração da investigação dificultou muito isso, mas entendemos e lamentamos a frustração que nossas comunicações iniciais causaram tanto às empresas quanto aos usuários que confiam em nossos produtos. Ao compartilhar esses detalhes adicionais hoje, e em nossa abordagem daqui para frente, estamos determinados a fazer o que é certo para nossos clientes e tornar nossa comunicação mais eficaz. Caso prefiram ir direto para as ações recomendadas do LastPass para proteger sua conta ou sua empresa, usuários em geral podem clicar aqui e administradores de empresas aqui. O QUE ACONTECEU E QUAIS PROVIDÊNCIAS FORAM TOMADAS? Os dois incidentes que divulgamos no ano passado afetaram o LastPass e nossos clientes. Nenhum dos incidentes foi causado por qualquer defeito do produto LastPass ou acesso não autorizado a — ou uso indevido de — sistemas de produção. Em vez disso, o agente da ameaça explorou uma vulnerabilidade em um software de terceiros, burlou os controles existentes e, por fim, acessou ambientes de armazenamento de backup e desenvolvimento de não produção. Compartilhamos informações técnicas, indicadores de comprometimento (IOCs) e táticas, técnicas e procedimentos (TTPs) do agente da ameaça com as autoridades competentes e nossos parceiros forenses e de inteligência de ameaças. Até o momento, no entanto, a identidade do agente da ameaça e sua motivação permanecem desconhecidas. Ele não fez contato ou exigências, e não detectamos atividade clandestina crível indicando que o agente da ameaça esteja se dedicando ativamente à comercialização ou venda de qualquer informação obtida durante os incidentes. Resumo do Incidente 1: o laptop corporativo de um engenheiro de software foi comprometido, permitindo que o agente de ameaça não autorizado obtivesse acesso a um ambiente de desenvolvimento baseado em nuvem e roubasse códigos-fonte, informações técnicas e certos segredos internos do sistema LastPass. Nenhum dado de cliente ou cofre foi obtido durante esse incidente, pois não há dados de clientes ou cofres no ambiente de desenvolvimento.  Declaramos o incidente encerrado, mas depois descobrimos que as informações roubadas no primeiro incidente foram usadas para identificar alvos e iniciar o segundo incidente. Em resposta ao primeiro incidente, mobilizamos nossas equipes internas de segurança, bem como recursos da Mandiant.  Como parte do processo de contenção, erradicação e recuperação, tomamos as seguintes providências:
  • Removemos o ambiente de desenvolvimento e criamos um novo para garantir total contenção e erradicação.
  • Implantamos controles e tecnologias de segurança adicionais para complementar os controles existentes.
  • Alternamos todos os segredos de texto não criptografado relevantes usados por nossas equipes e quaisquer certificados expostos.
Detalhes sobre o primeiro incidente e ações corretivas podem ser encontrados aqui. Resumo do Incidente 2: o agente da ameaça tinha como alvo um engenheiro sênior de DevOps ao explorar um software vulnerável de terceiros. O agente da ameaça tirou proveito da vulnerabilidade para distribuir malware, burlou os controles existentes e, por fim, obteve acesso não autorizado a backups na nuvem. Os dados acessados a partir desses backups incluíam dados de configuração do sistema, segredos de API, segredos de integração de terceiros e dados criptografados e não criptografados do cliente LastPass. Em resposta ao segundo incidente, mobilizamos novamente nossa equipe de resposta a incidentes e a Mandiant. Como parte de nossas atividades contínuas de contenção, erradicação e recuperação relacionadas ao segundo incidente, tomamos as seguintes providências:
  • Analisamos os recursos de armazenamento baseado em nuvem do LastPass e aplicamos políticas e controles adicionais.
  • Analisamos e alteramos os controles de acesso privilegiado existentes.
  • Alternamos segredos e certificados relevantes que foram acessados pelo agente da ameaça.
Detalhes adicionais sobre o ataque e ações corretivas podem ser encontrados aqui. QUAIS DADOS FORAM ACESSADOS? Conforme detalhado nos resumos dos incidentes, o agente da ameaça roubou dados de propriedade exclusiva do LastPass e dados de clientes durante os dois incidentes, incluindo o seguinte: Resumo dos dados acessados no Incidente 1:
  • Desenvolvimento sob demanda baseado em nuvem e repositórios de código-fonte — isso incluiu 14 dos 200 repositórios de software.
  • Scripts internos dos repositórios — continham segredos e certificados do LastPass.
  • Documentação interna — informações técnicas que descreviam como o ambiente de desenvolvimento operava.
Resumo dos dados acessados no Incidente 2:
  • Segredos de DevOps — segredos restritos que foram usados para obter acesso ao armazenamento de backup baseado em nuvem.
  • Armazenamento de backup baseado em nuvem — continha dados de configuração, segredos de API, segredos de integração de terceiros, metadados de clientes e backups de todos os dados do cofre dos clientes. Todos os dados confidenciais do cofre dos clientes, exceto URLs, caminhos de arquivo para o software LastPass Windows ou macOS instalado e certos casos de uso envolvendo endereços de e-mail, foram criptografados usando nosso modelo de conhecimento zero e só podem ser descriptografados com uma chave de criptografia exclusiva derivada da senha mestre de cada usuário. Vale lembrar que as senhas mestre dos usuários finais nunca são de conhecimento do LastPass e não são armazenadas ou mantidas pelo LastPass, portanto, elas não estavam entre os dados que foram exfiltrados.
  • Backup do LastPass MFA/banco de dados de federação — continha cópias de seeds do LastPass Authenticator, números de telefone usados para a opção de backup da MFA (se ativada), bem como um componente de conhecimento compartilhado (a “chave” K2) usado para a federação do LastPass (se ativada). Esse banco de dados foi criptografado, mas a chave de descriptografia armazenada separadamente estava nos segredos roubados pelo agente da ameaça durante o segundo incidente.
Informações detalhadas sobre os dados específicos do cliente afetados por esses incidentes podem ser encontradas aqui. QUAIS PROVIDÊNCIAS VOCÊS DEVEM TOMAR PARA GARANTIR A PROTEÇÃO PESSOAL OU DA EMPRESA? Para auxiliar nossos clientes da melhor maneira possível em seus próprios esforços de resposta a incidentes, preparamos dois boletins de segurança: um para nossos usuários Free, Premium e Families e outro específico para nossos usuários Business e Teams. Cada boletim de segurança traz informações destinadas a ajudar nossos clientes a proteger a conta LastPass e responder a esses incidentes de segurança de uma forma que acreditamos atender às suas próprias necessidades pessoais ou ao perfil e ambiente de segurança da organização em que atuam.
  • Boletim de segurança: Ações recomendadas para clientes LastPass Free, Premium e Families. Este boletim explica em detalhes como nossos usuários Free, Premium e Families podem realizar uma revisão de configurações importantes do LastPass projetadas para ajudar a proteger a conta ao confirmar que as práticas recomendadas estão sendo seguidas.
  • Boletim de segurança: Ações recomendadas para administradores do LastPass Business. Este boletim detalha como os administradores de nossos clientes Business e Teams podem realizar uma avaliação de risco da configuração de conta do LastPass e das integrações de terceiros, além de trazer informações relevantes para clientes federados e não federados.
Caso tenham alguma dúvida sobre as ações recomendadas, não deixem de entrar em contato. O suporte técnico e a equipe de sucesso do cliente estão à disposição. O QUE FIZEMOS PARA PROTEGER O LASTPASS Desde agosto, implantamos várias novas tecnologias de segurança em nossos data centers, infraestrutura e ambientes de nuvem para reforçar ainda mais nossa postura de segurança. Grande parte dessas medidas já estava planejada e foi feita em tempo recorde, pois havíamos iniciado esse trabalho antes do primeiro incidente. Também priorizamos e iniciamos investimentos significativos em segurança, privacidade e boas práticas operacionais. Realizamos uma revisão abrangente de nossas políticas de segurança e incorporamos alterações para restringir acessos e privilégios quando apropriado. Concluímos uma análise abrangente dos controles e configurações existentes, e fizemos as alterações necessárias para fortalecer os ambientes existentes. Também iniciamos o trabalho para expandir o uso de criptografia em nossa infraestrutura de aplicativos e backup. Por fim, começamos a buscar iniciativas arquitetônicas de longo prazo para ajudar a impulsionar a evolução da plataforma no LastPass. Vocês podem clicar aqui para ver uma lista do trabalho que foi concluído e que está atualmente em nosso roteiro de segurança. O QUE VOCÊS PODEM ESPERAR DE NÓS Desde nossa publicação de 22 de dezembro, falei com muitos de nossos clientes de planos pessoais e empresariais. Reconheço a frustração de nossos clientes com nossa incapacidade de nos comunicarmos de forma mais imediata, clara e detalhada durante esse evento. Aceito as críticas e assumo total responsabilidade. Aprendemos muito com isso e estamos comprometidos em tornar nossa comunicação mais eficaz daqui para frente. A atualização de hoje é uma demonstração desse compromisso. Há pouco mais de um ano, a GoTo e seus investidores anunciaram que o LastPass se tornaria uma empresa independente, com uma nova equipe de liderança. O objetivo é permitir que a empresa alcance todo o seu potencial e cumprir a promessa de criar a plataforma de referência em gerenciamento de senhas corporativas. No final de abril de 2022, assumi o cargo de CEO para ajudar a liderar essa iniciativa. Nos últimos oito meses, contratamos novos líderes para ajudar a impulsionar o crescimento da empresa e colocar uma nova estratégia em prática. Isso inclui veteranos e líderes reconhecidos do setor de segurança e tecnologia. Como parte da próxima fase de crescimento da empresa, fizemos uma alocação multimilionária para aprimorar nosso investimento em segurança envolvendo pessoas, processos e tecnologia. Esse investimento norteia nosso compromisso de transformar o LastPass em uma empresa líder em segurança cibernética e garantir que tenhamos condições de nos proteger contra ameaças futuras. Obrigado pelo feedback, pela compreensão e por todo apoio de sempre. Karim Toubba CEO, LastPass
bg

Primeiros passos no LastPass Business.

Experimente por 14 dias sem pagar nada. Não é preciso informar nenhum cartão de crédito.