Compromisso com a segurança

A segurança é nossa maior prioridade no LastPass, incluindo a resposta e a resolução de relatórios de bugs e vulnerabilidades. O LastPass consegue atingir um alto nível de segurança para nossos usuários ao olhar para nossa comunidade para desafiar a tecnologia. Nós valorizamos o trabalho importante que a comunidade de pesquisa de segurança fornece e reconhecemos a divulgação responsável dos problemas. Além disso, acreditamos que todos se beneficiam quando o processo de segurança funciona como planejado.

Observação: Se você for um usuário LastPass e estiver preocupado se sua conta foi hackeada, violada ou está em risco de outra forma, entre em contato com a equipe de suporte do LastPass. Nós analisaremos e escalaremos seu problema adequadamente.

Envio de um relatório de segurança

Se você for um pesquisador de segurança e acredita ter encontrado um bug ou vulnerabilidade de segurança no LastPass, siga essas etapas:

Leia as Perguntas frequentes do LastPass para se certificar de que sua preocupação ainda não tenha sido abordada.
Envie seu relatório pelo nosso programa de bug bounty BugCrowd para informar os problemas.
Inclua uma amostra do código e um screencast demonstrando a vulnerabilidade sempre que possível.
Mostre claramente como o bug ou vulnerabilidade tem impacto sobre os dados do usuário ou sistemas do LastPass.
Nos dê tempo suficiente para analisar e responder ao seu relatório, e entre em contato conosco para análise e aprovação antes de publicar suas descobertas.
Não acesse, modifique ou roube dados de usuários, e não influencie a disponibilidade do LastPass (incluindo um ataque de DDoS).

Ao relatar problemas em potencial, forneça informações suficientes para que possamos recriar suas descobertas. As informações podem incluir as etapas exatas para reproduzir o bug, qualquer link no qual você tenha clicado, páginas visitadas, URLs e qualquer endereço de e-mail da conta afetada. Inclua uma amostra do código e imagens ou vídeo que demonstrem claramente a vulnerabilidade suspeita encontrada.

Para criptografar informações confidenciais, você pode usar esta chave pública:

display public key

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.12 (GNU/Linux)
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=ZmTr
-----END PGP PUBLIC KEY BLOCK-----

Observação: Se você estiver usando ferramentas automáticas para encontrar vulnerabilidades, esteja ciente de que essas ferramentas muitas vezes acusam resultados falso-positivos.

Resposta aos relatórios

Assim que recebermos os relatórios, nós tomaremos as medidas para investigar o relatório e determinar sua gravidade. Se tentarmos consertar o problema identificado, dependendo de sua gravidade, nós poderemos entrar em contato com você para obter informações adicionais. Nós implementaremos as etapas necessárias de correções nos usuários afetados com base na gravidade do problema e potencial impacto. Nós concluiremos o relatório assim que ele for resolvido ou considerado encerrado de outra forma.

Perguntas frequentes da segurança do LastPass

A autenticação multifatorial está ativada, mas o LastPass preencheu minhas credenciais em um site antes que eu digitasse meu token de autenticação. Isso é um problema de segurança?

Para validar seu token, a autenticação multifatorial precisa de uma conexão com a Internet: se você não digitar um token correto, o LastPass nunca liberará seus dados criptografados. No entanto, o LastPass também tem um "modo offline": ele mantém uma cópia local criptografada em cache dos seus dados no seu dispositivo para que você possa ter acesso a eles mesmo se estiver sem acesso à Internet. Quando você se conecta ao LastPass, nós primeiro conectamos sua cópia offline à cópia local em cache dos seus dados e, depois, tentamos conectar você online. Por isso, pode haver situações em que o LastPass preencha suas credenciais antes que você nos informe seu token de autenticação do LastPass. Para evitar esse comportamento, faça o seguinte:

Conecte-se ao LastPass
Navegador - Ícone do LastPass - Mais opções - Avançado - Limpar cache local
Saia do LastPass

Clique aqui para mais informações.

Meu antivírus me alertou que o LastPass é um vírus/cavalo-de-troia/componente suspeito. Devo me preocupar?

A maioria dos antivírus modernos se baseiam em uma rede confiável para determinar se um arquivo é uma ameaça. Por isso, apesar de usarmos um certificado digital na assinatura de todos os arquivos executáveis que distribuímos, é comum que a cada lançamento de uma nova versão do nosso software os antivírus o identifiquem como suspeito, até que ele esteja distribuído para milhares de usuários e/ou até que os usuários finais atualizem suas definições de vírus. Ao se deparar com este problema, faça o seguinte:

Baixe novamente os arquivos pela página de Download do LastPass.
Faça o upload dos arquivos suspeitos para o Virus Total, um serviço que os analisará com dezenas dos melhores antivírus do mercado. Eles provavelmente são seguros se diversos antivírus os identificaram como não infectados.
Clique nos arquivos com o botão direito do mouse e selecione "Propriedades" no menu de contexto. Em seguida, abra a guia "Assinaturas digitais". Confira se os arquivos têm uma assinatura digital válida do "LastPass" e, se necessário, abra o certificado. Assim, você terá certeza de que os arquivos foram criados pelo LastPass e não passaram por modificações de terceiros.
Se mesmo depois de seguir essas instruções você ainda acreditar que os arquivos estão infectados ou não foram criados pelo LastPass, escreva para security@lastpass.com

Alguém compartilhou um site comigo e não marcou a opção "Permitir ao destinatário ver a senha", mas eu descobri como vê-la.

Não podemos mais proteger uma senha que saiu do LastPass para ser preenchida nos campos de credenciais de um navegador. Por isso, se um usuário usa o LastPass para digitar uma senha compartilhada, digamos, no Google Chrome, não conseguimos mais garantir a segurança dela. Ela pode estar comprometida pelo navegador, por um vírus ou pela rede, ou até mesmo pelo site em que está sendo usada. Isso também é mencionado em nossa documentação.
A ideia de usar o LastPass para proteger credenciais compartilhadas vai muito mais além: se você usar o LastPass para compartilhar senhas com colaboradores ou amigos e, em um determinado momento, perder as credenciais, o LastPass oferece a você a possibilidade de atualizá-las com rapidez e facilidade. Portanto, embora não consigamos proteger credenciais compartilhadas fora do LastPass (porque nosso limite não ultrapassa o navegador), podemos ajudar a protegê-las, pois possibilitamos que você as altere rapidamente, propagando as mudanças para todo mundo que recebeu o compartilhamento.

Como funciona

Pessoal

Business

Preços

Recursos

Fazer login

Relatórios de segurança do LastPass