O vazamento do LastPass em 2022 explicado: o que foi roubado, o que significa e como migrar
Em agosto / novembro de 2022, invasores exfiltraram backups em nuvem do LastPass, incluindo cofres de usuários criptografados mais metadados não criptografados. Aqui está o que está documentado e o que fazer agora se você ainda tiver uma conta no LastPass.
Cronologia documentada
Conforme os avisos de incidente publicados pelo LastPass: em agosto de 2022, invasores comprometeram a máquina de um desenvolvedor do LastPass e acessaram o código-fonte. Em novembro de 2022, invasores usaram credenciais do incidente de agosto para acessar backups em nuvem no armazenamento em nuvem de terceiros do LastPass. Esses backups continham cofres de clientes criptografados mais metadados não criptografados — URLs de cofre, endereços de e-mail das contas, informações de cobrança. O LastPass divulgou o roubo de dados em 22 de dezembro de 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
O que a criptografia realmente protege
Os cofres do LastPass são criptografados com AES-256, com a chave derivada da senha mestra por meio de PBKDF2. A força da proteção depende de (a) a entropia da senha mestra e (b) a contagem de iterações do PBKDF2. A contagem de iterações padrão do PBKDF2 do LastPass era de 5.000 para contas antigas antes de ser aumentada para 100.100 em 2018. Contas criadas antes de 2018 podem ainda ter contagens de iteração baixas, a menos que o usuário tenha feito a atualização manualmente — os avisos de incidente do LastPass documentam isso. Uma senha mestra fraca com baixa contagem de iterações pode ser quebrada por força bruta offline; uma senha mestra forte com mais de 100.100 iterações não pode, com o hardware atual.
O que fazer se você tem ou teve uma conta no LastPass
Passo 1: Exporte seu cofre do LastPass no console web (Configurações → Opções Avançadas → Exportar). Passo 2: Importe para o Bitwarden ou o 1Password (ambos têm importadores diretos do LastPass documentados em bitwarden.com/help/import-from-lastpass e 1password.com/help). Passo 3: Troque as senhas de qualquer conta com alto custo de exposição — financeiras, e-mail, redes sociais principais. Passo 4: Ative o 2FA em qualquer conta que ofereça suporte. Passo 5: Exclua a conta do LastPass no console web. Se sua senha mestra era forte (mais de 12 caracteres aleatórios ou uma frase-senha com mais de 6 palavras), o cofre criptografado é seguro computacionalmente; a rotação é uma precaução. Se sua senha mestra era fraca, trate as contas de alto valor como comprometidas.
Por que o vazamento afetou toda a categoria de gerenciadores de senhas, não apenas o LastPass
O vazamento do LastPass levou os pesquisadores de segurança a examinar com mais cuidado as escolhas arquiteturais de toda a categoria. Dois aprendizados específicos: (1) As contagens de iteração da criptografia não são todas iguais — a diferença entre 5.000 e 100.100 iterações do PBKDF2 é grande. O Argon2id (a KDF moderna usada pelo Bitwarden e outros) é novamente bem mais forte. (2) A exposição de metadados (URLs de contas, endereços de e-mail) é um dano real à privacidade mesmo quando o conteúdo dos cofres permanece criptografado, porque os metadados ajudam um invasor a priorizar alvos. Os gerenciadores modernos auditados limitam os metadados na camada de dados em repouso.
Fontes
Avisos oficiais de incidente do LastPass: blog.lastpass.com/posts/notice-of-recent-security-incident. Importador do LastPass no Bitwarden: bitwarden.com/help/import-from-lastpass. Ajuda do 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Todas as URLs acessadas em 2026-04-30.