2019/09/17

Bug no LastPass revelava password do último site visitado


A utilização de gestores de passwords é, hoje em dia, algo praticamente obrigatório - mas por vezes a sua utilização pode significar riscos acrescidos, como demonstra um bug no LastPass que podia expor as credenciais utilizadas anteriormente.

Este bug do LastPass - que já foi corrigido com a versão 4.33.0 - afectava as extensões do Chrome e Opera, e permitia que um site malicioso pudesse ter acesso às credenciais utilizadas no site anterior. Ou seja, se tivessem entrado no Gmail, por exemplo, e de seguida visitassem um site malicioso que tirasse partido deste bug, o atacante poderia ter acesso à vossa password de acesso à conta Google.

Felizmente, a falha foi reportada à LastPass por Tavis Ormandy do Project Zero da Google, e não há indicações de que tenha sido utilizada por agentes maliciosos antes de ter sido corrigida. De qualquer forma, será conveniente que os utilizadores do LastPass se certifiquem que estão a utilizar a versão actualizada.

Em vez de ser encarado como um incidente que desincentiva a utilização de gestores de passwords (na esmagadora das vezes, a segurança acrescida que proporcionam supera, em muito, os riscos de ter todas as passwords guardadas num só local), o que casos como este demonstram é que o verdadeiro risco é depender unicamente de uma password para aceder a um qualquer serviço. É necessário activar e reforçar a utilização de métodos de autenticação "2-factor", que evitam que o simples acesso à password dê acesso imediato às contas dos utilizadores, e torná-los de uso cada vez mais simples para todos os utilizadores - desde que não sejam códigos enviados via SMS (ainda mais, sabendo-se o tipo de ataques que têm estado em curso).

4 comentários:

  1. Isso não era bug, era feature. O nome LastPass indicava isso mesmo.

    ResponderEliminar
  2. Ó puxa-vida, essa foi de mestre...

    Vá, mas agora, (não é que eu seja supersticioso, antes pelo contrário) mas não agoirem, por favor... ;)

    ResponderEliminar