Un bug de LastPass permitía robar todas las contraseñas de un usuario con un clic

Un bug de LastPass permitía robar todas las contraseñas de un usuario con un clic
14 comentarios Facebook Twitter Flipboard E-mail

LastPass es uno de los gestores de contraseñas más populares, pero recientemente ha sido noticia por otros motivos: el hallazgo de no uno, sino dos agujeros de seguridad en LastPass relacionados con el uso de su extensión de navegador (tanto en Chrome como en Firefox), aunque por suerte, ambos han sido ya resueltos.

El primer bug fue encontrado y comunicado al equipo de seguridad de LastPass hace ya un año (y resuelto en menos de 24 horas, sin necesidad de ninguna acción por parte de los usuarios), mientras que el segundo se encontró ayer y también se ha resuelto mediante una actualización de la extensión afectada.

El primer problema de seguridad, como decíamos, se encontró hace aproximadamente un año. El aviso al equipo de LastPass vino de parte de Matthias Karlsson, un analista de seguridad que publicó recientemente la historia. Según explica Karlsson, el error se encontraba en el código de análisis (parse) de la URL que LastPass añade mediante la extensión de navegador.

Este error permitía engañar al sistema, haciéndole creer que estaba en otra web y extrayendo los datos de acceso a ésta. Así, por ejemplo, uno podía visitar una web cualquiera, y hacer uso de este fallo de seguridad para obtener la contraseña de Twitter, Facebook y otros servicios online.

Karlsson comenta que informó del error a LastPass, y éstos "trataron el problema de forma muy profesional". El agujero de seguridad se solucionó en menos de un día, y Karlsson recibió una compensación de 1.000 dólares como parte del programa Bug Bounty de LastPass.

El otro fallo de seguridad de LastPass, del que podemos leer más detalles en un comunicado de la propia compañía, fue denunciado ayer por un analista del equipo de seguridad de Google, Tavis Ormandy. Ormandy detectó que mediante una vulnerabilidad en la extensión de LastPass para Firefox, se podían ejecutar acciones de LastPass en segundo plano sin conocimiento del usuario.

Este fallo ha sido solucionado también, mediante una actualización de la extensión de Firefox. Si utilizas este navegador y LastPass 4.0, asegúrate de actualizar a la versión 4.1.21a. Si usas alguna versión anterior, este problema de seguridad no te afecta.

Un vistazo a…
Firefox Multiple Picture-in-Picture

¿Deberías seguir usando gestores de contraseñas?

Cuando lees noticias como éstas, es normal que surjan dudas sobre la seguridad de los gestores de contraseñas. El propio Matthias Karlsson, descubridor del primer bug, lo tiene claro: "No deberíamos dejar de usar gestores de contraseñas. Siguen siendo una opción mucho mejor que usar la misma contraseña en varios servicios diferentes".

Lo que sí recomienda Karlsson es desactivar la función de auto-rellenado de formularios, puesto que esta función pued ser un punto de entrada para más ataques.

Desde LastPass, por otro lado, dan una serie de recomendaciones básicas de seguridad que no está de más recordar:

  • Utilizar una contraseña diferente para cada cuenta y perfil online.
  • No hacer clic en enlaces que te envíen desconocidos, o enlaces extraños que vengan de contactos de confianza.
  • Activar la autentificación en dos pasos en todos los servicios donde sea posible.
  • Utilizar una contraseña especialmente segura como clave maestra en el gestor de contraseñas, y no dársela a nadie (ni a la propia compañía).

Vía | Motherboard
Más información | Comunicado de LastPass - Artículo de Matthias Karlsson
En Genbeta | 1Password Families, o cómo conseguir que toda la familia use contraseñas seguras

Comentarios cerrados
Inicio