LastPass sofre vazamento de dados após ataque a empresa parceira; o que você precisa saber

A plataforma de gerenciamento de senhas LastPass confirmou que dados de seus usuários foram comprometidos em um incidente de segurança que ocorreu em junho de 2026. Diferentemente do que se possa pensar, os criminosos não conseguiram invadir os servidores do LastPass diretamente. O ataque foi direcionado a uma empresa terceirizada chamada Klue, que fornecia ferramentas de análise de mercado para os times comerciais da plataforma.

O método utilizado pelos hackers envolveu o roubo de tokens OAuth, basicamente chaves digitais que funcionam como um “passe livre” entre sistemas conectados. Para quem não está familiarizado com o termo, pense nos tokens como aqueles atalhos que permitem que você entre em um jogo usando sua conta de outra plataforma, sem precisar digitar sua senha toda vez. No caso do LastPass, esses tokens conectam ferramentas como Klue ao Salesforce, permitindo integração automática entre sistemas.

O problema é grave: ao roubar essas chaves digitais, os criminosos conseguem acessar sistemas conectados sem precisar conhecer senhas mestras ou dados de login. É como alguém conseguir uma cópia de sua chave de admin e entrar no seu account sem precisar da senha.

A empresa já se posicionou publicamente, alertando usuários a redobrarem a atenção com tentativas de phishing (golpes por email ou mensagem). O LastPass reforça que nenhum funcionário legítimo da plataforma solicitará sua senha mestra por qualquer motivo.

Para quem usa gerenciadores de senhas regularmente — e especialistas recomendam essa prática — este é um bom momento para revisar suas configurações de segurança, ativar autenticação em dois fatores onde disponível e monitorar suas contas em busca de atividades suspeitas.

Fonte: Voxel