- A ICO multou o LastPass em £ 1,2 milhão (US$ 1,6 milhão).
- Mais de 1,6 milhão de usuários foram expostos em uma violação de dados
- Os dados expostos incluíam nomes, endereços de e-mail, números de telefone e URLs
O Gabinete do Comissário de Informação do Reino Unido multou o provedor de gerenciador de senhas LastPass em £ 1,2 milhão (US$ 1,6 milhão) em 2022 por uma violação de dados que afetou 1,6 milhão de usuários.
De acordo com a ICO, o LastPass “não conseguiu implementar medidas técnicas e de segurança robustas”, o que levou a dois incidentes de violação de dados.
Desde a violação de dados, os investigadores vincularam uma série de roubos de criptomoedas de seis dígitos à violação do LastPass.
As empresas tomam nota
A violação começou depois que um invasor obteve credenciais criptografadas da empresa após comprometer um laptop da empresa com acesso ao ambiente de desenvolvimento LastPass.
O invasor obteve acesso ao banco de dados de backup do LastPass comprometendo o laptop de um funcionário importante com um keylogger e roubando um cookie de autenticação do dispositivo confiável.
Com acesso às contas pessoais e empresariais do funcionário, o hacker roubou a chave de acesso e a chave de descriptografia da Amazon Web Service (AWS).
O invasor usou as chaves adquiridas anteriormente para extrair o conteúdo do banco de dados de backup cheio de informações pessoais.
O LastPass operava usando um formato de criptografia de conhecimento zero, portanto, nenhuma senha armazenada é confirmada como tendo sido descriptografada. O invasor, no entanto, se infiltrou em nomes, e-mails, números de telefone e URLs de sites salvos de clientes.
John Edwards, Comissário de Informação do Reino Unido, afirmou: “Os gestores de palavras-passe são uma ferramenta segura e eficaz para as empresas e o público gerirem uma vasta gama de detalhes de login e continuamos a encorajar a sua utilização.
“Os clientes do LastPass esperavam que as informações pessoais que confiaram à empresa fossem mantidas seguras e protegidas. No entanto, a empresa não correspondeu a essa expectativa, resultando na multa proporcional anunciada hoje.
“Apelo a todas as empresas no Reino Unido para que tenham em conta o resultado desta investigação e revejam imediatamente os seus sistemas e procedimentos para garantir que não se expõem a si próprios e aos seus clientes a riscos semelhantes”.
Um porta-voz do LastPass disse: “Temos cooperado com a ICO do Reino Unido desde que fomos informados deste incidente em 2022. Embora estejamos decepcionados com o resultado, estamos satisfeitos que a decisão da ICO reconheça os muitos esforços que fizemos para fortalecer ainda mais nossa plataforma e melhorar nossas medidas de segurança de dados. Aqueles que continuam a confiar no LastPass”.
O melhor gerenciador de senhas para cada orçamento
