As reinicializações do MFA bloqueou alguns usuários do LastPass, e muitos ficaram furiosos com essa medida drástica e com o bloqueio.
Os usuários do gerenciador de senhas LastPass têm enfrentado problemas significativos de login desde o início de maio, após serem solicitados a redefinir seus aplicativos autenticadores.
A empresa anunciou pela primeira vez que os usuários podem precisar fazer login novamente em sua conta LastPass e redefinir sua preferência de autenticação multifator devido a atualizações de segurança planejadas em 9 de maio.
No entanto, desde então, vários usuários foram bloqueados em suas contas e incapazes de acessar seu cofre LastPass, mesmo depois de redefinir com êxito seus aplicativos MFA (por exemplo, LastPass Authenticator, Microsoft Authenticator, Google Authenticator).
Reinicializações do MFA bloqueou alguns usuários do LastPass
Para agravar o problema, os clientes afetados não podem procurar assistência do suporte, pois entrar em contato com o suporte do LastPass requer login em suas contas, o que eles não podem fazer porque estão presos em um loop infinito de solicitação para redefinir seu autenticador MFA.
“A ressincronização forçada do MFA agora está me impedindo de fazer login porque o LastPass não reconhece o novo código MFA”, disse um usuário.
“Depois de redefinir meu MFA, perdi completamente o acesso ao meu cofre. O MasterPW não está funcionando e a redefinição, bem como o e-mail de redefinição, nunca é entregue a mim. Não é possível entrar em contato com meu suporte ‘Premium’ porque é necessário fazer login”, acrescentou outro.
“Fui solicitado a reinserir a senha mestra e forçado a atualizar o MFA, o que fiz com sucesso, e agora não consigo fazer login. Não consigo nem abrir um tíquete de suporte porque você precisa fazer login para fazer então”, disse um usuário, pedindo ajuda no site da comunidade LastPass.
O LastPass diz que as redefinições do MFA foram anunciadas por meio de mensagens no aplicativo por “várias semanas” antes do anúncio inicial.
Isso estimulou o LastPass a lançar vários avisos sobre as atualizações de segurança, explicando que isso está sendo feito para aumentar as iterações de senha para o novo padrão de 600.000 rodadas
“Para aumentar a segurança de sua senha mestra, o LastPass utiliza uma versão mais forte do que a típica da função de derivação de chave baseada em senha (PBKDF2)”, explica um boletim de suporte do LastPass enviado aos usuários afetados.
“Em sua forma mais básica, o PBKDF2 é um ‘algoritmo de fortalecimento de senha’ que torna difícil para um computador verificar se qualquer 1 senha é a senha mestra correta durante um ataque comprometedor.”
“Os eventos de logout forçado + ressincronização MFA estão ocorrendo à medida que aumentamos todas as iterações de senha do cliente. Isso tem a ver com a criptografia do seu LastPass Vault”, twittou a empresa.
Em outro comunicado, a empresa diz que os usuários são solicitados a se inscrever novamente na autenticação multifator para sua segurança ao fazer login no LastPass.
“Você deve fazer login no site do LastPass em seu navegador e reinscrever seu aplicativo MFA antes de poder acessar o LastPass em seu dispositivo móvel novamente. Você não pode se inscrever novamente usando a extensão do navegador LastPass ou o aplicativo LastPass Password Manager”, disse a empresa explica.
O procedimento detalhado necessário para redefinir o emparelhamento entre o LastPass e o aplicativo autenticador (LastPass Authenticator, Microsoft Authenticator ou Google Authenticator) é descrito em detalhes neste documento de suporte.
Na próxima vez que fizer login em um site ou aplicativo usando o LastPass, você será solicitado a verificar sua localização.
Ao fazer login em um site ou aplicativo no qual você usou o LastPass para fazer login, você deve inserir suas credenciais novamente e autenticar usando seu aplicativo autenticador.
Os usuários também serão solicitados a verificar sua localização na próxima vez que fizerem login em um site ou aplicativo usando o LastPass como uma medida de segurança adicional.
Como parte do mesmo processo, os usuários deverão inserir novamente suas credenciais de login e se autenticar novamente usando seu aplicativo autenticador.
“Após os incidentes de 2022, enviamos e-mail e comunicações no produto para nossa base de clientes, recomendando que eles redefinam seus segredos MFA com seu aplicativo Authenticator preferido como medida de precaução. Essa recomendação também foi incluída nos boletins de segurança que enviamos para nosso B2C e clientes B2B no início de março e uma segunda comunicação por e-mail no início de abril”, disse um porta-voz do LastPass ao site BleepingComputer.
“No entanto, um subconjunto de nossos clientes ainda não realizou essa ação, por isso solicitamos que eles agissem no próximo login no LastPass. Iniciamos esse prompt no produto no início de junho, na esperança de que isso obter uma resposta maior do que nossos e-mails.”
Esses problemas ocorrem depois que o LastPass divulgou uma violação de segurança em dezembro de 2022, depois que os agentes de ameaças roubaram uma grande quantidade de informações de clientes parcialmente criptografadas e dados do cofre de senhas.
A violação de dezembro resultou de outra violação de agosto de 2022, com os invasores obtendo acesso aos baldes Amazon S3 criptografados da empresa usando dados roubados da primeira violação.
