O fantasma do LastPass está rondando o Bitwarden

Quando o LastPass foi vendido para o LogMeIn em 2015, ninguém pensou duas vezes. Era “só uma aquisição”. Quatro anos depois, um fundo de private equity comprou o LogMeIn inteiro por $4,3 bilhões. Aí vieram os cortes, as features que pararam de funcionar, a comunicação que virou relações públicas corporativas. E em 2022, o breach mais devastador da história dos gerenciadores de senha — cofres criptografados de milhões de usuários caíram nas mãos de hackers. Não foi um acidente. Foi o resultado previsível de anos de negligência sob gestão financeira.

Agora, em maio de 2026, o Bitwarden está seguindo o mesmo roteiro. E se você usa o Bitwarden — e eu sei que você usa, porque é o gerenciador de senhas que todo dev recomenda — precisa prestar atenção nos sinais.

CEO novo, zero anúncio

Em fevereiro, Michael Crandell, CEO do Bitwarden desde 2019, saiu silenciosamente do cargo e foi para uma “função de advisory”. Sem blog post. Sem comunicado. Sem email para os milhões de usuários. A comunidade só descobriu porque alguém checou o LinkedIn dele.

O substituto? Michael Sullivan. Se o nome não te diz nada, o currículo dele diz tudo: ex-CEO da Acquia e da Insightsoftware, o cara se descreve no próprio LinkedIn como especialista em “all facets of mergers and acquisitions, including direct experience with leading PE firms”. Traduzindo: ele é o tipo de executivo que fundos de private equity contratam quando querem preparar uma empresa para venda ou extração máxima de valor.

E não parou aí. O CFO Stephen Morrison também saiu em abril, substituído por Michael Shenkman — ex-CEO do InVision. Dois executivos-chave trocados em três meses, ambos sem nenhum comunicado público.

Quem já viu esse filme sabe como termina.

O preço dobrou (e a comunicação foi péssima)

Em janeiro de 2026, o Bitwarden dobrou o preço do plano Premium: de $9,99/ano para $19,80/ano. Um aumento de 98%.

Agora, $19,80/ano ainda é barato comparado com 1Password ($36/ano) ou Dashlane ($60/ano). Não é o valor absoluto que incomoda — é como fizeram.

O anúncio do aumento veio enterrado dentro de um post sobre “novas features Premium”, usando linguagem de billing mensal que o Bitwarden nunca ofereceu. Quem não leu com atenção achou que era um post comemorativo. Assinantes existentes receberam só 15 dias de aviso antes da renovação.

Features novas que justificam o dobro do preço? “Vault health alerts”, “password coaching” e 5GB de armazenamento em vez de 1GB. Nenhuma delas é o tipo de feature que faz alguém dizer “vale o dobro”. São incrementais na melhor das hipóteses — e no mundo real, a maioria dos usuários Premium nem sabia que tinha 1GB de storage.

“Sempre grátis” desapareceu do site

Essa é a que dói mais.

Até meados de abril, a página de planos do Bitwarden tinha a frase “Always free” bem visível na seção do plano pessoal gratuito. Era uma das promessas centrais da marca. Era o que diferenciava o Bitwarden de todos os outros — a garantia de que existiria sempre uma versão gratuita completa o suficiente para a maioria dos usuários.

Em algum momento de abril, a frase sumiu. Sem changelog. Sem nota. Alguém do Reddit percebeu e postou. A comunidade verificou no Wayback Machine. Confirmado: “Always free” foi removido deliberadamente.

Eu não sou ingênuo o suficiente para achar que remover uma frase do site significa que o plano grátis vai acabar amanhã. Mas sei o que significa quando uma empresa remove uma promessa do ar: significa que ela quer a flexibilidade de quebrá-la no futuro sem que ninguém possa dizer “mas vocês prometeram”.

GRIT: de Inclusão e Transparência para Inovação e Trust

O Bitwarden sempre divulgou seus valores corporativos usando o acrônimo GRIT:

• Gratitude
• Responsibility
• Inclusion
• Transparency

Depois de 4 de maio, o GRIT virou:

• Gratitude
• Responsibility
• Innovation
• Trust

“Inclusão” virou “Inovação”. “Transparência” virou “Trust” (confiança). A ironia é quase poética: trocar transparência por confiança num processo que não teve nenhuma das duas.

E a forma como fizeram foi pior que a mudança em si. Em vez de publicar um post explicando a evolução dos valores, eles editaram um blog post de quatro anos atrás. O post agora tem partes que falam do novo GRIT e partes que ainda referenciam o antigo, criando contradições internas. Quem edita um post de 2022 em silêncio em vez de escrever um novo? Alguém que não quer que você perceba a mudança.

O padrão PE: construir confiança, criar dependência, renegociar

Se você trabalha com tech há mais de 5 anos, já viu esse roteiro antes:

1. Produto open-source ganha a confiança da comunidade
2. Empresa cresce com base nessa confiança
3. Fundo de private equity entra (ou se prepara para entrar)
4. CEO “operacional” substitui o fundador/CEO original
5. Preços sobem, promessas somem, comunicação vira corporativês
6. Moeda de troca? A base de usuários que confiou no produto original

Aconteceu com o LastPass. Aconteceu com o Docker (que quase morreu). Aconteceu com o Red Hat pós-IBM quando mataram o CentOS. Aconteceu com o Terraform quando a HashiCorp mudou a licença para BSL.

O Bitwarden ainda não chegou ao capítulo final dessa história. Mas já está no capítulo 4 ou 5.

E o código open source?

Uma das defesas clássicas é: “mas o Bitwarden é open source, posso sempre fazer fork”. Verdade. Inclusive já existe o Vaultwarden — um servidor compatível com Bitwarden escrito em Rust pela comunidade, que roda com 50MB de RAM contra os 2GB+ do servidor oficial.

Mas aqui está o problema: o Vaultwarden depende da API do Bitwarden e dos seus clientes oficiais (extensões de navegador, apps mobile, CLI). Se a nova gestão decidir fechar esses clientes, mudar a licença, ou restringir a API — o ecossistema alternativo inteiro quebra.

# Setup do Vaultwarden com Docker (enquanto ainda funciona)
docker run -d \
  --name vaultwarden \
  -v /vw-data/:/data/ \
  -p 80:80 \
  -e SIGNUPS_ALLOWED=false \
  vaultwarden/server:latest

Sim, é fácil de subir. Mas “fácil de subir” e “sustentável a longo prazo” são coisas diferentes. O Vaultwarden precisa acompanhar as mudanças da API do Bitwarden, e isso depende de engenharia reversa contínua por contribuidores voluntários.

O que o LastPass nos ensinou

Vamos recapitular o que aconteceu com o LastPass depois que o private equity assumiu:

2015: LogMeIn compra o LastPass por $110 milhões.

2019: Fundos Francisco Partners e Evergreen Coast Capital compram o LogMeIn por $4,3 bilhões.

2020-2022: Período de extração de valor. Cortes internos, equipe de segurança reduzida, infraestrutura legada mantida “porque funciona”.

Agosto 2022: Hacker compromete o laptop de um engenheiro explorando software third-party desatualizado (porque ninguém priorizou atualização). Insere keylogger. Ganha acesso ao ambiente de desenvolvimento.

Novembro 2022: LastPass admite que cofres criptografados de milhões de usuários foram roubados. URLs de sites visitados estavam em plaintext dentro dos cofres. A empresa levou meses para notificar os usuários com informações úteis.

2023: Análises independentes mostram que o LastPass não melhorou significativamente a segurança mesmo após o breach.

2024: LastPass é finalmente separado do GoTo como empresa independente — ainda controlada pelos mesmos fundos de PE.

A sequência: aquisição → troca de gestão → corte de custos → negligência de segurança → breach catastrófico → dano irreversível à marca.

O Bitwarden está na fase “troca de gestão + aumento de preço”. Não significa que vai ter um breach. Mas significa que as condições que levaram ao breach do LastPass estão sendo criadas.

O que fazer agora (sem pânico)

Antes que você saia deletando sua conta e migrando tudo para uma planilha Excel protegida por senha (por favor, não faça isso):

Se você usa o plano grátis: nada muda por enquanto. O plano grátis continua existindo e continua funcional. Mas fique atento. Se a política de “always free” sumiu do site, pode sumir da prática.

Se você paga Premium: avalie se as features premium realmente importam para você. TOTP integrado? A maioria dos devs já usa Authy ou um app de TOTP separado. O principal valor do Bitwarden sempre foi o cofre de senhas com sync — e isso é grátis.

Se você quer controle total: configure um Vaultwarden. Sério. São 10 minutos com Docker e um VPS de $5/mês. Você ganha todas as features Premium gratuitamente, controle total dos dados, e independência de qualquer decisão corporativa.

# Docker Compose para Vaultwarden com HTTPS via Caddy
version: "3"
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    volumes:
      - ./vw-data:/data
    environment:
      - SIGNUPS_ALLOWED=false
      - WEBSOCKET_ENABLED=true
      - ADMIN_TOKEN=sua-senha-admin-forte-aqui

  caddy:
    image: caddy:latest
    container_name: caddy
    restart: unless-stopped
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile
      - caddy_data:/data
    depends_on:
      - vaultwarden

volumes:
  caddy_data:

# Caddyfile
vault.seudominio.com {
    reverse_proxy vaultwarden:80
}

Se você gerencia senhas de uma equipe: agora é a hora de discutir o plano B. Não quando (ou se) o Bitwarden mudar as regras, mas antes. Alternativas como KeePassXC (local), Passbolt (self-hosted com foco empresarial) ou até o 1Password (que, apesar de closed-source, tem um track record decente de segurança) merecem estar no radar.

Alternativas que valem a pesquisa

Nenhuma é perfeita. KeePassXC não tem sync nativo (precisa de Syncthing ou similar). Passbolt é voltado para times. Proton Pass é relativamente novo. 1Password é closed-source. Mas todas elas representam opções que não dependem da boa vontade de um possível fundo de PE.

A real é que confiança não tem rollback

O Bitwarden construiu seu nome fazendo tudo certo durante anos: open source real, preço justo, comunicação direta, auditoria independente de código. Foi a recomendação padrão de segurança em todo fórum, subreddit e thread de dev que eu já vi.

Mas confiança em software de segurança funciona diferente de confiança em qualquer outro tipo de software. Se o VS Code fizer algo que eu não goste, eu migro para o Neovim e perco produtividade por uma semana. Se o meu gerenciador de senhas fizer algo que eu não goste, as consequências potenciais são roubo de identidade, acesso a contas bancárias e comprometimento de toda a minha vida digital.

Ninguém está dizendo “abandonem o Bitwarden hoje”. O que estou dizendo é: prestem atenção. CEO novo com expertise em M&A. CFO novo. Preço dobrado com 15 dias de aviso. “Always free” removido. Valores de transparência e inclusão trocados em silêncio.

São sinais. E no mundo de segurança digital, ignorar sinais é o luxo mais caro que existe.

A pergunta não é se o Bitwarden vai mudar. A pergunta é quando — e se você vai ter um plano B pronto quando isso acontecer.

Fonte de inspiração: The Quiet Renovation at Bitwarden | Fast Company