Realmente são uns gênios mesmo, imagina só tratar como se fosse nada, acesso a infos internas de um gerenciador de senhas, e pior, fora de uma intra!, as desvantagens do remoto.
Incrível esse serviço ainda existir depois de tudo que aconteceu. É esperado que os usuários desse tipo de serviço tenham o mínimo de noção de segurança e bom senso, mas parece que muita gente continua usando.
As senhas ficam criptografadas, de qualquer forma. Mas, sim, só o fato dessa lambança de falta de segurança no serviço é bizarra, a maioria que vi na gringa migrou tudo pro Bitwarden e 1password.
Estou feliz de ter feito essa migração assim que eles limitaram o plano gratuito. Timing perfeito.
Não tem nada a ver com remoto, o problema poderia ter acontecido presencialmente, o que mais existia eram casos assim no passado, em época que trabalho remoto nem era discutido.
Existem conceitos de Zero Trust para uma empresa permitir BYOD, além disso, existia a possibilidade da empresa não permitir BYOD e enviar seu próprio maquinário para o colaborador.
E ainda, sem BYOD ou com BYOD, os demais controles de segurança se mostraram fracos. O atacante conseguiu baixar uma quantidade de dados enorme, sem nenhuma anomalia identificada, conseguiu extrair dados sensíveis, sem nenhum alerta do DLP.
E os acessos ao data center? Não era através de cofre de senhas? Não eram monitorados? Pq esse colaborador tinha acesso a ambientes de produção, sem qualquer limitação? Porque o cara tinha acesso ao código da aplicação e ao banco de dados completo e em prod?
Fica claro que a segurança da empresa é fraca, foram vários erros, e em mais evidência, uma vez que aconteceu e levou meses para entenderem de onde veio o tiro.
O erro aqui é permitir o BYOD, não sendo capaz de ter controles internos nem para estações com a imagem da empresa.
Em suma, não tem nada a ver com o remoto, mas com o problema de sempre das empresas: Segurança não foi levado a sério.
Considerando que até o código da aplicação foi roubado, já não é mais improvável conseguirem acessos as senhas.
Dependendo da senha mestra que foi usada pelo usuário, um brute force é mais fácil do que parece.
Além da possibilidade de usar de Phishing para descobrir a senha dessas bases.
Eu parei de usar quando anunciaram que foram vendidos para a LogMeIn, nunca foi uma empresa referência em segurança.
Faz muitos anos que uso o Dashlane, tem uma excelente experiência em app e, assim como o Bitwarden, confiam no seu taco a ponto de terem os seus códigos mobile abertos para a comunidade.
Pois é, mas a cada notícia parece que os hackers vão mais longe. É falha e descuido demais por parte de uma empresa que oferece esse serviço.
Perderam a confiança, tô fora desse serviço.
Li a chamada da matéria e logo pensei “misericórdia, invadiram de novo?”, mas por sorte não kkkkkkkkk (ainda). Já usei muito o LastPass no passado, e gostava bastante, mas me surpreende ainda existir mesmo depois de tantas falhas de segurança, o que é uma pena.
Este tópico foi fechado automaticamente 365 dias depois da última resposta. Novas respostas não são mais permitidas.