O que acontece se um gerenciador de senhas como o LastPass for Hackeado/Compromissado?

O que acontece se um gerenciador de senhas for comprometido depende muito do tipo de ataque que foi realizado e exatamente que informação foi comprometida. Vou usar o LastPass como exemplo aqui, porque ele teve o maior número de violações de segurança reveladas publicamente. Em geral esta informação se aplica à maioria das aplicações de gerenciamento de senhas. Há vários cenários prováveis de ataque e comprometimento de aplicações. Possíveis ataques incluem:

COMPROMISSO DO SITE DO VENDEDOR

Neste cenário, um atacante conseguiu obter acesso não autorizado ao site do fornecedor, e foi capaz de obter informações da conta do cliente, tais como endereços de e-mail, dicas de recuperação de senha e senhas de login em hash para o site do fornecedor. É possível, mas menos provável que o atacante consiga obter números de cartão de crédito ou arquivos criptografados de senhas do cofre. Este é o cenário de ataque mais provável, e realmente já aconteceu.

Análise: Todos os aplicativos de gerenciamento de senhas confiáveis mantêm as senhas dos usuários em um arquivo criptografado do cofre.

• Um cofre de senhas criptografado significa que as senhas dos usuários são seguras, mesmo que um atacante tenha violado o site do fornecedor e copiado o arquivo do cofre. O LastPass, como a maioria de seus concorrentes, usa criptografia AES-256 e uma chave de cofre forte (100.000 rounds pf BPKDF2 hashing). É improvável que um atacante seja capaz de decodificar este arquivo durante a vida da vítima, a menos que a senha principal do cofre seja fraca (por exemplo, uma senha que já esteja em uma lista de senhas comprometidas).
• Idealmente, os usuários devem ter senhas diferentes para a conta do site do fornecedor e para a senha principal do cofre. Diferentes procedimentos são usados para derivar a chave do cofre e o hash da senha armazenado no site do fornecedor (o hash da senha no site do verndor inclui um sal e, idealmente, um valor de pimenta que não está presente ao derivar a chave do cofre). Isto evita que um atacante utilize o hash de senha para obter a chave do cofre, mesmo que o usuário tenha selecionado a mesma senha para sua conta com o fornecedor da aplicação e seu cofre de senha.

Resultado antecipado do ataque: O usuário é forçado a alterar sua senha no site do fornecedor do aplicativo de gerenciamento de senha, e o usuário pode precisar monitorar a atividade no cartão de crédito usado para comprar o software. Não é provável que haja comprometimento de outras senhas de contas.

Resultado real do ataque: LastPass teve este tipo de compromisso duas vezes, em 2011 e novamente em 2015. Em ambos os casos, os atacantes podem ter conseguido obter endereços de e-mail, dicas de recuperação de senha, senhas de login em hash, e valores de sal de senha. Não há evidências de que os dados de senha de qualquer usuário tenham sido comprometidos como resultado desses ataques.

VULNERABILIDADES DE EXTENSÃO DO PROGRAMA DE Senhas

Neste cenário, um atacante descobriu e está explorando ativamente as falhas no código de extensão do navegador do gerenciador de senhas. Isto permite ao atacante solicitar senhas para outros sites, ou injetar código. Este também é um cenário provável e também já aconteceu.

Análise: A maioria dos aplicativos de gerenciamento de senhas inclui extensões para navegadores populares que permitem preencher automaticamente informações de senhas em nome do usuário. Essas extensões normalmente usam o URL do site e o conteúdo da página para determinar que dados de senha fornecer, e então preencher os campos automaticamente. Há duas áreas de vulnerabilidade nesta abordagem, onde falhas de programação poderiam ser exploradas por um atacante:

• Um atacante poderia enganar a extensão para fornecer as credenciais incorretas. Este ataque poderia permitir que um site malicioso reunisse nomes de usuário e senhas para um site diferente do gerenciador de senhas. É provável que tais ataques precisariam reunir senhas um por um, e causariam um comportamento incomum do navegador enquanto o ataque estivesse ocorrendo.
• Um atacante poderia fazer com que a extensão executasse código malicioso. Muitas falhas típicas de programação permitem que um atacante execute código arbitrário, geralmente no mesmo nível de privilégio da extensão, do navegador, ou do usuário. Este código pode potencialmente ser usado para colher senhas como no caso anterior, ou pode ser usado como um vetor

Resultado antecipado do ataque: O ideal seria que o fornecedor encontrasse e corrigisse falhas em seu código antes que elas fossem exploradas. Se a falha for corrigida antes que um atacante a explore, o único efeito sobre os usuários finais é que eles devem atualizar suas extensões de site. Se explorada, este tipo de ataque pode potencialmente permitir que um atacante obtenha o texto simples de uma ou mais senhas da aplicação de gerenciamento de senhas. Após a divulgação deste tipo de ataque, os usuários devem atualizar suas extensões de navegador para garantir que eles não estejam mais vulneráveis. Se um ataque à vulnerabilidade tiver sido conduzido, os usuários também devem alterar as senhas que possam ter sido afetadas.

Resultado real do ataque: O LastPass teve este tipo de vulnerabilidade quatro vezes, duas vulnerabilidades encontradas e corrigidas em 2016 e outras duas encontradas e corrigidas em 2017. O LastPass corrigiu as vulnerabilidades relatadas por terceiros antes que os problemas fossem divulgados publicamente, e antes que os atacantes fossem capazes de explorá-los. Nos quatro casos, o único efeito sobre os usuários foi que eles tinham que atualizar as extensões do navegador.

MALWARE INFECTION

Neste cenário, um atacante comprometeu seu computador e instalou software malicioso com privilégios a nível de sistema. Além dos efeitos habituais de tal infecção, o malware que visa o software de gerenciamento de senhas pode potencialmente usar seus privilégios para obter senhas à medida que elas são descriptografadas para uso, ou recuperar o cofre de senhas criptografadas e monitorar as teclas do usuário para determinar a senha mestra do cofre. Este é um cenário improvável (a menos que você esteja na linha de trabalho de James Bond).

Análise: Esta infecção normalmente exigiria múltiplas vulnerabilidades, incluindo um vetor de infecção (como um ataque de phishing ou uma falha de programação em um navegador web ou extensão de navegador) que permite ao atacante executar o código de infecção, bem como uma vulnerabilidade do sistema operacional que permite que o código de infecção contorne os antivírus e as medidas de proteção do sistema para instalar o software malicioso. Finalmente, o malware precisaria ter como alvo aplicativos específicos de gerenciamento de senhas para extrair os dados necessários.

Resultado antecipado do ataque: Além de todos os outros resultados de uma infecção por malware, o usuário deve assumir que todas as senhas em seu cofre de senhas podem ter sido comprometidas. Após reinstalar em um sistema de limpeza conhecido, o usuário deve usar uma nova senha mestra e deve alterar as senhas de todas as suas contas.

Não estou ciente de um ataque correspondente a esse cenário perpetrado contra qualquer aplicativo de gerenciamento de senhas.