LastPass informa que, em Agosto, hackers conseguiram roubar dados criptografados e não criptografados

Em Agosto, houve um incidente de segurança na LastPass. Na época, não havia evidência de um vazamento de dados pessoais. Entretanto, nesta quinta-feira 22/12 houve um pronunciamento com atualizações sobre o que pode ter sido comprometido.

O agente da ameaça também conseguiu copiar um backup dos dados do cofre do cliente do contêiner de armazenamento criptografado, que é armazenado em um formato binário proprietário que contém dados não criptografados, como URLs de sites, bem como campos confidenciais totalmente criptografados, como nomes de usuários de sites e senhas, notas seguras e dados preenchidos em formulários. Esses campos criptografados permanecem protegidos com criptografia AES de 256 bits e só podem ser descriptografados com uma chave de criptografia exclusiva derivada da senha mestra de cada usuário usando nossa arquitetura Zero Knowledge. Como lembrete, a senha mestra nunca é conhecida pelo LastPass e não é armazenada ou mantida pelo LastPass. A criptografia e descriptografia de dados são realizadas apenas no cliente LastPass local. Para obter mais informações sobre nossa arquitetura Zero Knowledge e algoritmos de criptografia, consulte aqui.
(...)

O que isto significa? Meus dados estão em risco?

O agente da ameaça pode tentar usar força bruta para adivinhar sua senha mestra e descriptografar as cópias dos dados do cofre que eles tiraram. Devido aos métodos de hash e criptografia que usamos para proteger nossos clientes, seria extremamente difícil tentar adivinhar senhas mestras por força bruta para os clientes que seguem nossas práticas recomendadas de senha. Testamos rotineiramente as mais recentes tecnologias de quebra de senha em relação aos nossos algoritmos para acompanhar e melhorar nossos controles criptográficos.