Falha de segurança do LastPass coloca em risco as suas passwords… uma vez mais

Na semana passada foi lançada uma atualização ao serviço de gestão de passwords LastPass. Esta veio corrigir uma falha grave de segurança que expunha as passwords dos seus utilizadores em sites visitados anteriormente.

O problema real só agora foi dado a conhecer, pelo que é fundamental atualizar rapidamente o seu serviço no Chrome e no Opera.

LastPass e a segurança das suas passwords

Não é propriamente uma novidade a existência de notícias que envolvem a segurança de passwords em serviços como o LastPast. Estes serviços de gestão de palavras-passe são ideais para quem quer controlar todos os seus acessos. No entanto, são também uma porta para ataques.

Na semana passada, é provável que a sua extensão do serviço tenha sido atualizada de forma automática. Contudo, se tal não se verificou, o ideal é que proceda imediatamente à sua atualização.

O propósito da atualização, deve-se a uma falha grave de segurança que colocava em risco a segurança das credenciais dos utilizadores.

Os detalhes agora divulgados

O bug foi descoberto no mês passado por Tavis Ormandy, investigador de segurança do Project Zero, a equipa de topo de segurança e caça de bugs da Google.

Agora, uma semana depois o lançamento da atualização, Ormandy partilhou alguns detalhes relativos à falha de segurança encontrada. O relatório de bug do investigador de segurança orienta o invasor pelas etapas necessárias para reproduzir o bug.

Revela então que para esta falha ser explorada é necessário executar um código JavaScript malicioso que pode ser incorporado em qualquer site mascarado por detrás de um URL do Google Tradutor. O invasor pode, então, induzir os utilizadores a aceder ao link e, posteriormente, extrair credenciais de um site visitado anteriormente.

LastPass could leak the last used credentials due to a cache not being updated. This was because you can bypass the tab credential cache being populated by including the login form in an unexpected way! https://t.co/bfLdDzSWS5

— Tavis Ormandy (@taviso) September 16, 2019

Embora o bug tenha sido referido como de alta gravidade, a LastPass tentou minimizar o problema. Nomeadamente, afirmando que a falha “revelou um conjunto limitado de circunstâncias em extensões específicas do navegador que poderiam permitir ao invasor criar um cenário de clickjacking“.

De referir que todas as extensões foram atualizadas. No entanto, o problema apenas se verificou no Google Chrome e no Opera.

Concluindo, independentemente do serviço de gestão de passwords que utiliza, o ideal é ter sempre ativa a autenticação de dois fatores. É importante ainda que altere com frequência as suas palavras-passe e não recicle as antigas.