Lastpass

Descubierta por Tavis Ormandy, investigador del equipo de Google Project Zero, una falla en la extensión para navegadores del gestor de contraseñas basado en la nube LastPass, permitiría a los atacantes obtener las credenciales de acceso y poner todas las contraseñas de un usuario en riesgo.

Ormandy explica, que para aprovecharse de esta vulnerabilidad basta con visitar un sitio con el javascript malicioso que infecta la extensión. Una vez infectada, el bug puede darle al hacker acceso a una serie de comandos mediante los que puede extraer información interna. Las llamadas de procedimiento remoto o RPCs que pueden ejecutarse en LastPass incluyen claramente la de solicitar las contraseñas que estén almacenadas este servicio.

La falla afecta tanto a la extensión de LastPass para Google Chrome como a la de Mozilla Firefox. LastPass sin embargo, aseguró ayer que ya habían resuelto la falla en la extensión de Google y que trabajaban en solucionar la encontrada en Firefox:

Sin embargo, horas después Ormandy dejó caer otra bomba asegurando que recién acababa de encontrar una nueva falla y que dentro de poco sabríamos más en su reporte completo:

Lo peor en este caso, es que esta no es la primera vez que LastPass sufre un eventualidad relacionada con la seguridad. En 2015 una ataque perpetrado por varios hackers logró sustraer información como emails, contraseñas de recuperación y claves de autenticación. En una declaración, LastPass aseguró que ninguna “contraseña maestra” había sido comprometida.

En esta ocasión, los usuarios están mostrando su preocupación en las redes sociales. Es claro, nadie quiere que accedan no a una, sino a las docenas de contraseñas que se suelen almacenar en este tipo de servicios. Sin embargo, esto no es razón para dejar de utilizar un gestor de contraseñas. En todo caso, si algún usuario esta inconforme con LastPass para eso existen alternativas como Dashlane o 1Password.

Recuerden que este no es un ataque a la infraestructura de LastPass en general, sino una falla propia de las extensiones para navegadores. Como medida de precaución, lo correcto en este momento seria desinstalar estas extensiones. Al menos hasta nuevo aviso.

Más en TekCrispy