Gestor de contraseñas está en la mira de los Hackers.
¿Alguna vez pensaste que un gestor de contraseñas era la solución para tener contraseñas seguras y diferentes para cada login?. Hay malas noticias.
Una falla crítica zero-day se ha descubierto en el popular gestor de contraseña LastPass que podría permitir a cualquier atacante remoto para comprometer su cuenta por completo.
LastPass es un gestor de contraseñas que también está disponible como una extensión del navegador que le permite llenar automáticamente cualquier credencial que usted tenga almancenada.
Al igual que 1Password todo lo que se necesita es recordar una contraseña maestra para desbloquear todas las otras contraseñas de las diferentes cuentas en línea. Al parecer, el gestor de contraseñas no es tan seguro como parece.
Tavis Ormandy de Project Zero (Equipo de Hackers de Google) descubrió varios problemas de seguridad en el software que le permitió robar contraseñas almacenadas con LastPass.
Are people really using this lastpass thing? I took a quick look and can see a bunch of obvious critical problems. I'll send a report asap.
— Tavis Ormandy (@taviso) July 26, 2016
Una vez comprometida la cuenta de LastPass de la víctima, los hackers podrían acceder a un tesoro de contraseñas para otros servicios online de la víctima.
LastPass ha estado trabajando en una solución a la vulnerabilidad zero-day lo más pronto. Los detalles técnicos acerca de las cuestiones no han sido revelados por el investigador.
NO ES EL ÚNICO
Coincidentemente, otro investigador de seguridad Mathias Karlsson anunció que había descubierto algunos problemas en LastPass, que ya ha sido parcheado por la empresa.
Una dirección URL especialmente diseñada es suficiente para hacerse del control completo de las cuentas de sus usuarios.
Como Karlsson explicó en una entrada de su blog publicado hoy, un atacante podría enviar una URL especialmente diseñado para la víctima con el fin de robar las contraseñas de su bóveda.
LastPass ha reparado rápidamente la vulnerabilidad reportada por Tavis Ormandy e introdujo una actualización solucionada a todos los usuarios de Firefox, que según dice es el único navegador vulnerable.