Se você usa LastPass, os invasores provavelmente têm uma cópia do seu cofre e de todas as suas senhas.

Alterar sua senha mestra agora não ajudará, pois eles já têm uma cópia que pode ser desbloqueada com sua senha antiga.

Contexto:
LastPass, um conhecido gerenciador de senhas, foi recentemente hackeado e todas as senhas que o serviço armazenava foram roubadas. Os hackers conseguiram obter uma cópia de segurança dos dados dos clientes do serviço, que continha dados sensíveis e, claro, as senhas, mesmo que estivessem criptografadas. Em 22 de dezembro, o LastPass anunciou, através do blog oficial, que uma invasão não autorizada ocorreu: os hackers conseguiram obter uma cópia de segurança que contém “tanto dados não criptografados, como URLs de sites, quanto todos os dados sensíveis criptografados, como nomes de usuários, senhas, dicas de segurança e dados de preenchimento automático de formulários”.

O que fazer?

1.) Não use mais LastPass.
Não sabemos quão grave é a situação. É possível que os invasores ainda tenham acesso. Portanto, não basta apenas alterar suas senhas e salvá-las novamente no LastPass. Vamos lidar primeiro com as contas urgentes, manualmente, e depois configurar um novo gerenciador de senhas.

2.) Se você tem ativos virtuais e frases sementes no seu LastPass, você deve cuidar disso IMEDIATAMENTE.
Crie novas carteiras, escreva as frases sementes SOMENTE em um pedaço de papel e transfira todos os seus ativos para as novas carteiras.
Não perca tempo procurando uma solução perfeita para custódia, pois esse é um tempo que você não tem. Se o invasor tiver acesso às suas frases sementes, poderá roubar seus ativos a qualquer momento, e você não poderá desfazer. Primeiro, garanta a segurança de seus ativos e pense em armazenamento de longo prazo depois.

3.) Altere suas senhas para exchanges e outros produtos financeiros.
Anote suas senhas em papel primeiro. Use uma senha diferente para cada exchange.

Ative 2FA e certifique-se de que o código 2FA não esteja salvo no LastPass. Se estiver, remova 2FA e configure-o novamente em outro aplicativo.

4.) Altere as senhas de suas contas de e-mail.
Qualquer pessoa que tenha acesso aos seus e-mails pode acessar suas outras contas por meio de mecanismos de “esqueci minha senha”, então garanta que seus e-mails estão seguros. Senha única por serviço, escreva em papel, use 2FA que não esteja salvo no LastPass.

5.) Altere também as senhas e 2FA das suas contas Apple iCloud e Google.
Essas contas provavelmente têm acesso, via backups e sincronizações em nuvem, a dados do seu iPhone/Android e podem possivelmente bloqueá-lo, então altere-as o mais rápido possível.

6.) Agora que você protegeu seus dados mais importantes, configure um novo gerenciador de senhas.
Considere 1Password/Bitwarden/Keepass. Nossa preferência é pelo Keepass. Nós já publicamos um vídeo sobre isso.

Configure um com uma nova senha mestra forte. Salve suas novas senhas neste gerenciador. Nada de frases sementes! Elas são críticas demais para um gerenciador de senhas online.

7.) Agora que você tem um novo gerenciador de senhas, use-o para alterar as senhas de todas as suas contas não críticas.
Sim, todas.
Você provavelmente tem muitas, então priorize as mais importantes. Contas de trabalho, armazenamento de arquivos/fotos, redes sociais.

8.) Recentemente, lançamos o vídeo “Sem Senha”. Assista, pois isso (token de segurança USB) ajuda a garantir que algo assim não aconteça novamente.