Obter Obter o LastPass Free
Segurança

Relatórios de segurança do LastPass

Compromisso com a segurança

A segurança é nossa maior prioridade no LastPass, incluindo a resposta e a resolução de relatórios de bugs e vulnerabilidades. O LastPass consegue atingir um alto nível de segurança para nossos usuários ao olhar para nossa comunidade para desafiar a tecnologia. Nós valorizamos o trabalho importante que a comunidade de pesquisa de segurança fornece e reconhecemos a divulgação responsável dos problemas. Além disso, acreditamos que todos se beneficiam quando o processo de segurança funciona como planejado.

Observação: Se você for um usuário LastPass e estiver preocupado se sua conta foi hackeada, violada ou está em risco de outra forma, entre em contato com a equipe de suporte do LastPass. Nós analisaremos e escalaremos seu problema adequadamente.

Envio de um relatório de segurança

Se você for um pesquisador de segurança e acredita ter encontrado um bug ou vulnerabilidade de segurança no LastPass, siga essas etapas:

  1. Leia as Perguntas frequentes do LastPass para se certificar de que sua preocupação ainda não tenha sido abordada.
  2. Envie seu relatório pelo nosso programa de bug bounty BugCrowd para informar os problemas.
  3. Inclua uma amostra do código e um screencast demonstrando a vulnerabilidade sempre que possível.
  4. Mostre claramente como o bug ou vulnerabilidade tem impacto sobre os dados do usuário ou sistemas do LastPass.
  5. Nos dê tempo suficiente para analisar e responder ao seu relatório, e entre em contato conosco para análise e aprovação antes de publicar suas descobertas.
  6. Não acesse, modifique ou roube dados de usuários, e não influencie a disponibilidade do LastPass (incluindo um ataque de DDoS).

Ao relatar problemas em potencial, forneça informações suficientes para que possamos recriar suas descobertas. As informações podem incluir as etapas exatas para reproduzir o bug, qualquer link no qual você tenha clicado, páginas visitadas, URLs e qualquer endereço de e-mail da conta afetada. Inclua uma amostra do código e imagens ou vídeo que demonstrem claramente a vulnerabilidade suspeita encontrada.

Para criptografar informações confidenciais, você pode usar esta chave pública:

display public key

 

Observação: Se você estiver usando ferramentas automáticas para encontrar vulnerabilidades, esteja ciente de que essas ferramentas muitas vezes acusam resultados falso-positivos.

Resposta aos relatórios

Assim que recebermos os relatórios, nós tomaremos as medidas para investigar o relatório e determinar sua gravidade. Se tentarmos consertar o problema identificado, dependendo de sua gravidade, nós poderemos entrar em contato com você para obter informações adicionais. Nós implementaremos as etapas necessárias de correções nos usuários afetados com base na gravidade do problema e potencial impacto. Nós concluiremos o relatório assim que ele for resolvido ou considerado encerrado de outra forma.

Perguntas frequentes da segurança do LastPass

A autenticação multifatorial está ativada, mas o LastPass preencheu minhas credenciais em um site antes que eu digitasse meu token de autenticação. Isso é um problema de segurança?

Para validar seu token, a autenticação multifatorial precisa de uma conexão com a Internet: se você não digitar um token correto, o LastPass nunca liberará seus dados criptografados. No entanto, o LastPass também tem um "modo offline": ele mantém uma cópia local criptografada em cache dos seus dados no seu dispositivo para que você possa ter acesso a eles mesmo se estiver sem acesso à Internet. Quando você se conecta ao LastPass, nós primeiro conectamos sua cópia offline à cópia local em cache dos seus dados e, depois, tentamos conectar você online. Por isso, pode haver situações em que o LastPass preencha suas credenciais antes que você nos informe seu token de autenticação do LastPass. Para evitar esse comportamento, faça o seguinte:

  1. Conecte-se ao LastPass
  2. Navegador - Ícone do LastPass - Mais opções - Avançado - Limpar cache local
  3. Saia do LastPass
Clique aqui para mais informações.

Meu antivírus me alertou que o LastPass é um vírus/cavalo-de-troia/componente suspeito. Devo me preocupar?

A maioria dos antivírus modernos se baseiam em uma rede confiável para determinar se um arquivo é uma ameaça. Por isso, apesar de usarmos um certificado digital na assinatura de todos os arquivos executáveis que distribuímos, é comum que a cada lançamento de uma nova versão do nosso software os antivírus o identifiquem como suspeito, até que ele esteja distribuído para milhares de usuários e/ou até que os usuários finais atualizem suas definições de vírus. Ao se deparar com este problema, faça o seguinte:

  1. Baixe novamente os arquivos pela página de Download do LastPass.
  2. Faça o upload dos arquivos suspeitos para o Virus Total, um serviço que os analisará com dezenas dos melhores antivírus do mercado. Eles provavelmente são seguros se diversos antivírus os identificaram como não infectados.
  3. Clique nos arquivos com o botão direito do mouse e selecione "Propriedades" no menu de contexto. Em seguida, abra a guia "Assinaturas digitais". Confira se os arquivos têm uma assinatura digital válida do "LastPass" e, se necessário, abra o certificado. Assim, você terá certeza de que os arquivos foram criados pelo LastPass e não passaram por modificações de terceiros.
  4. Se mesmo depois de seguir essas instruções você ainda acreditar que os arquivos estão infectados ou não foram criados pelo LastPass, escreva para security@lastpass.com

Alguém compartilhou um site comigo e não marcou a opção "Permitir ao destinatário ver a senha", mas eu descobri como vê-la.

Não podemos mais proteger uma senha que saiu do LastPass para ser preenchida nos campos de credenciais de um navegador. Por isso, se um usuário usa o LastPass para digitar uma senha compartilhada, digamos, no Google Chrome, não conseguimos mais garantir a segurança dela. Ela pode estar comprometida pelo navegador, por um vírus ou pela rede, ou até mesmo pelo site em que está sendo usada. Isso também é mencionado em nossa documentação.
A ideia de usar o LastPass para proteger credenciais compartilhadas vai muito mais além: se você usar o LastPass para compartilhar senhas com colaboradores ou amigos e, em um determinado momento, perder as credenciais, o LastPass oferece a você a possibilidade de atualizá-las com rapidez e facilidade. Portanto, embora não consigamos proteger credenciais compartilhadas fora do LastPass (porque nosso limite não ultrapassa o navegador), podemos ajudar a protegê-las, pois possibilitamos que você as altere rapidamente, propagando as mudanças para todo mundo que recebeu o compartilhamento.