Brecha no LastPass é explicada por pesquisador da Google

No mês passado, o pesquisador de segurança Tavis Ormandy, do Project Zero, equipe de elite de segurança e caça aos bug da Google, revelou uma brecha no gerenciador de senhas LastPass. O problema deixava expostas as credenciais em um site visitado anteriormente. Uma atualização para correção foi lançada na semana passada, e agora mais detalhes explicam o que acontecia.

O LastPass, considerado o aplicativo mais popular de sua seara, corrigiu o problema na versão 4.33.0, na quinta-feira passada (12). Se você não tiver a atualização automática para as extensões de navegador, é recomendável fazer isso manualmente o mais rápido possível.

Segundo Ormandy, o bug depende da execução de código JavaScript malicioso sozinho, sem nenhuma outra interação do usuário — assim, ele é considerado potencialmente perigoso. Os invasores poderiam atrair usuários em páginas mal-intencionadas e explorar a vulnerabilidade para extrair as credenciais inseridas nos sites visitados anteriormente.

Ainda não dá para saber exatamente qual é a extensão dos problemas ou se algum cibercriminoso já explorou essa abertura. Por enquanto, o LastPass ainda não comentou o caso. Especialistas dizem, que, mesmo com essa falha, o software continua sendo uma alternativa muito confiável — ele vem até mesmo sendo usado pelo Drug Enforcement Administration, órgão dos Estados Unidos responsável pela repressão e controle de narcóticos.

Fonte: LastPass