Bug no LastPass vaza credenciais dos sites visitados

Última passagem

O gerenciador de senhas do LastPass lançou uma versão atualizada na semana passada para corrigir um erro de segurança que revela credenciais que foram inseridas em um site visitado pelo usuário anteriormente.

Tavis Ormandy, pesquisador de segurança da equipe do Project Zero do Google, foi o primeiro a descobrir o bug.

O LastPass, que se acredita ser o aplicativo gerenciador de senhas mais popular, lançou a versão 4.33.0 na semana passada para resolver o problema com o vazamento de credenciais.

Para os usuários que não ativaram a atualização automática para o LastPass ou seus aplicativos móveis, é recomendável executar uma atualização manual o mais rápido possível, pois após os detalhes publicados sobre a falha de segurança, um invasor pode tirar proveito das etapas descritas. para reproduzir o erro.

Como o erro se baseia unicamente na execução de um código JavaScript malicioso, sem exigir outra interação do usuário, é considerado perigoso e possivelmente explorável.

Os invasores podem atrair usuários para páginas maliciosas e explorar vulnerabilidades para extrair credenciais que foram inseridas em sites visitados anteriormente. Segundo Ormandy, isso não é tão difícil quanto parece, pois um invasor pode disfarçar facilmente um link malicioso atrás de um URL do Google Tradutor, induzir os usuários a acessá-lo e extrair as credenciais de um site visitado no passado.

Atualmente, não há indicações de que essa vulnerabilidade tenha sido explorada por fraudadores.

Apesar da vulnerabilidade descoberta recentemente, os usuários não são aconselhados a parar de usar o gerenciador de senhas. Este é um erro que pode ser corrigido e o uso de gerenciadores de senhas é muito mais seguro do que simplesmente deixar as senhas armazenadas no navegador, de onde é muito mais fácil roubar especialistas.