Atualizações de segurança importantes para nossos usuários

Descoberta de incidente: 22 de março de 2017 (14h30)

Gostaríamos manter nossa comunidade informada sobre as vulnerabilidades descobertas recentemente por Tavis Ormandy, um pesquisador de segurança da equipe Project Zero do Google. Esta publicação é longa. Portanto, fique à vontade para ler os principais destaques na seção “Visão geral” ou se aprofundar mais nas outras seções.

Visão geral

• O pesquisador de segurança Tavis Ormandy identificou recentemente duas vulnerabilidades
• Até a presente data, nossa investigação não identificou a perda ou comprometimento de dados sensíveis de nenhum usuário
• Todas extensões receberam correções e estão sendo relançadas para os usuários
• Nossos aplicativos móveis para Android e iOS não foram afetados
• Não é necessário alterar a senha mestre
• Não é necessário alterar a senha de nenhum site
• Verifique se você está executando as versões mais recentes dos nossos softwares
  • A maioria dos usuários recebem atualizações automaticamente, mas as versões mais recentes estão sempre disponíveis em com/download
  • Clique no ícone do LastPass > Mais opções > Sobre LastPass para verificar qual é a sua versão
    • Firefox: 4.1.36
    • Chrome: 4.1.43.82
    • Edge: 4.1.30 (aguardando aprovação da Microsoft)
    • Opera: 4.1.28 (aguardando aprovação da Opera)

O que aconteceu

Na última semana, o pesquisador Tavis Ormandy, membro do Project Zero, do Google, relatou ter descoberto duas vulnerabilidades à nossa equipe que afetaram várias extensões do LastPass para navegadores. Os problemas relatados afetaram usuários pessoais e corporativos. Para se aproveitar das vulnerabilidades relatadas, o invasor precisaria primeiro atrair o usuário para um site mal-intencionado. Nesse site, Tavis demonstrou como um invasor poderia fazer chamadas pelas APIs do LastPass ou, em alguns casos, executar um código arbitrário se passando por uma entidade confiável. Assim, o invasor conseguiria ter acesso a informações da conta LastPass, como as credenciais de login do usuário, para depois expô-las.

Bug de sequestro de mensagens na versão 3.3.2 da extensão LastPass para Firefox

O que foi descoberto: Com base no processo de análise de URL feito pela versão 3.3.2 da nossa extensão para Firefox, sites mal-intencionados poderiam falsificar sites legítimos para enganar a extensão do LastPass, que forneceria as credenciais do usuário naquele site. Esse bug foi relatado à nossa equipe no ano passado e logo foi corrigido. No entanto, não repassamos a correção para as versões 3.3.x mais antigas da extensão para Firefox, pois a desativação formal delas está programada para abril. O que você precisa saber:

• Antes mesmo de sermos informados sobre essas descobertas, anunciamos a desativação das versões 3.x para Firefox.
• Reforçamos a recomendação de que os nossos usuários atualizem a extensão LastPass para Firefox para a versão 4.1.36, disponível em com/download. Ainda é possível baixar a versão 3.3.4 para Firefox, mas, conforme mencionamos acima, desativaremos as versões 3.x do LastPass nas próximas semanas.

Bug nos conectores de sites

O que foi descoberto: Um problema na arquitetura do recurso de integração de clientes afetou extensões que usam esse código (Chrome, Firefox, Edge). Um site mal-intencionado poderia enganar o LastPass se passando por uma entidade confiável para roubar credenciais de site. Os usuários que usam o componente binário do LastPass (menos de 10% da base do LastPass) estavam ainda mais suscetíveis à exploração remota quando atraídos para um site mal-intencionado. O bug data de agosto de 2016, quando lançamos esse recurso experimental de integração de clientes para nossos usuários. No entanto, o código está presente em todas as extensões do LastPass para Chrome, Firefox e Edge. Ao tomar ciência da vulnerabilidade, a equipe do LastPass desativou imediatamente o serviço vulnerável e começou a trabalhar na atualização de todas as extensões afetadas. Enquanto trabalhava na correção de nossa extensão, Tavis twitou (mas já excluiu o tweet) sobre mais um problema. Para deixar claro, foi o mesmo problema em dois navegadores diferentes. Isso causou confusão sobre a quantidade de problemas e o andamento das correções. O que você precisa saber:

• A fim de eliminar esta vulnerabilidade por completo, enviamos atualizações para todos os usuários e relançamos as versões.
• As extensões para Chrome e Firefox já estão disponíveis, enquanto as versões para Edge e Opera ainda aguardam a aprovação de suas respectivas lojas de aplicativos.
• Como parte desse processo, analisamos exaustivamente todas as outras extensões (e nos instaladores) que usam este código.

Linha do tempo completa (horário do Leste dos EUA):

Bug de sequestro de mensagens na versão 3.3.2 da extensão LastPass para Firefox

• 10 de março: O LastPass anuncia a desativação formal das versões 3.3.x de sua extensão para Firefox
• 15 de março, 22h45: Anúncio da vulnerabilidade de sequestro de mensagens na versão 3.3.2 da extensão LastPass para Firefox
• 15 de março, 22h48: O LastPass recebe detalhes do bug na versão 3.3.2 de sua extensão para Firefox e inicia suas investigações
• 17 de março, 8h43: O LastPass envia uma correção para a Mozilla com a versão 3.3.4 de sua extensão para Firefox

Bug nos conectores de sites

• 20 de março, 19h20: Anúncio do bug nos conectores de sites na versão 4.1.42 do LastPass para Chrome
• 20 de março, 19h36: O LastPass inicia sua investigação de segurança em diversas funções do software
• 21 de março, 0h15: O LastPass desativa o serviço vulnerável em seu servidor
• 21 de março, 7h04: O LastPass anuncia que está trabalhando no servidor enquanto conduz uma análise completa do código para solucionar totalmente os problemas nas extensões
• 22 de março, 0h10: O LastPass lança a versão 4.1.36 de sua extensão para Firefox já com a correção
• 22 de março, 12h07: O LastPass lança a versão 4.1.43.82 de sua extensão para Chrome já com a correção
• 22 de março, 13h55: O LastPass envia a versão 4.1.30 de sua extensão para Edge para lançamento
• 22 de março, 14h49: O LastPass lança a versão 4.1.28 de sua extensão para Opera já com correção em com/download; o lançamento depende da loja

Lembretes sobre melhores práticas de segurança pessoal

Sabemos que os usuários do LastPass tentam seguir melhores práticas de segurança, mas nunca é demais relembrar como proteger seu computador para manter seus dados seguros:

• Fique atento a ataques de phishing. Não clique em links enviados por pessoas desconhecidas ou que doestem do estilo de comunicação de contatos e empresas em quem você confia.
• Use uma senha diferente para cada conta online.
• Use uma senha mestre segura para sua conta LastPass e nunca a divulgue para ninguém, nem para nós.
• Ative a autenticação de dois fatores no LastPass e em outros serviços como banco, conta de e-mail, Twitter, Facebook, etc.
• Mantenha seu computador em segurança com antivírus e softwares atualizados.

O que vem por aí

Para evitar que problemas como esses aconteçam, estamos revisando e reforçando os processos de análise de código e de segurança que estão em vigor, especialmente em recursos novos e experimentais. Nem precisa dizer que segurança é fundamental para nós. Buscamos sempre ser transparentes quando reagimos a problemas assim. Prezamos muito pelo trabalho feito por Tavis, a equipe Project Zero e outros pesquisadores white-hat. Todos nos beneficiamos quando esse modelo de segurança funciona para expor bugs de maneira responsável, e acreditamos que o LastPass fica mais forte pela atenção que dedica a isso. Agradecemos previamente as contribuições de todos os pesquisadores em nosso programa de relato de bugs: https://bugcrowd.com/lastpass. ———- 22 de março de 2017 (11h12) Ao longo da última semana, trabalhamos com o pesquisador de segurança do Google Tavis Ormandy para investigar e corrigir vulnerabilidades recém-descobertas. Pedimos desculpas pela demora em apresentar uma resposta, mas estamos trabalhando em uma investigação completa dessas descobertas a fim de trazer o máximo de informações para você. Divulgaremos em breve um relatório final do que foi feito, mas, por ora, queremos apresentar um resumo para nossa comunidade. O que aconteceu Na noite do dia 20 de março, fomos informados sobre um problema na versão 4.1.42.80 da nossa extensão para Chrome. Iniciamos imediatamente uma investigação e, em poucas horas, aplicamos uma correção em nosso servidor. A vulnerabilidade afetava todas as extensões do LastPass – Chrome, Firefox, Edge – que tinham um recurso experimental de integração de usuários. No dia 21 de março, recebemos outra informação referente à versão 4.1.35a para Firefox. Na verdade, essa vulnerabilidade era a mesma descoberta no dia anterior e afetava a extensão 4.x para Firefox. Embora este problema tenha sido resolvido totalmente nossa correção a fim de acompanhar o trabalho que vínhamos fazendo, esta informação foi recebida antes do lançamento. Lançamos uma atualização, a versão 4.1.36a para Firefox, por volta da 0h15 (Leste dos EUA) de hoje para atender especificamente a essa vulnerabilidade. As correções estão sendo enviadas para todos os usuários, e a maior parte delas deve ser aplicada automaticamente. Não há indícios de que as vulnerabilidades descobertas tenham sido exploradas por invasores, mas continuamos fazendo uma análise completa para confirmar esses dados. Divulgaremos em breve um resumo mais abrangente do que aconteceu e com informações que nossa comunidade precisa saber. No momento, os usuários não precisam alterar suas senhas.