El error de LastPass podría haber permitido a los piratas informáticos robar sus contraseñas

El error de LastPass podría haber permitido a los piratas informáticos robar sus contraseñas

LastPass, el popular administrador de contraseñas, ha lanzado una corrección de errores que habría permitido a los sitios web maliciosos recuperar contraseñas ingresadas previamente utilizando la extensión del navegador del servicio.

El error fue descubierto por primera vez por Tavis Ormandy, un investigador de Google Project Zero, quien reveló la vulnerabilidad a la compañía lo suficientemente temprano como para permitirle publicar una solución antes de que fuera explotada en ese momento. Estado salvaje.

Desde entonces, LastPass ha resuelto el problema mediante la implementación de una actualización automática en todos los navegadores, pero, sin embargo, se recomendó a los usuarios que verificaran que estaban utilizando la última versión del software.

El error en sí mismo es atraer a los usuarios a visitar un sitio web malicioso donde su extensión de navegador LastPass se ve obligada a usar una contraseña de un sitio web visitado anteriormente. Según Ormandy, los atacantes podrían incluso usar un servicio como Google Translate para ocultar una URL maliciosa y alentar a los usuarios desprevenidos a visitar un sitio web.

Bug LastPass

La actualización debe aplicarse a LastPass automáticamente, dependiendo de la compañía, pero vale la pena verificar si está utilizando la última versión de la extensión del navegador del servicio. Esto es especialmente cierto para los usuarios que ejecutan un navegador que le permite deshabilitar las actualizaciones automáticas para extensiones.

La versión 4.33.0 es la última versión de la extensión y, según LastPass, Chrome y Opera son los únicos navegadores web que son vulnerables. Sin embargo, la compañía ha implementado su último parche en todos los navegadores como medida de precaución. En una publicación de blog, Ferenc Kun, jefe de ingeniería de seguridad de LastPass, minimizó el error diciendo:

"Para explotar este error, un usuario de LastPass debe realizar una serie de acciones, que incluyen completar una contraseña con el ícono de LastPass, luego visitar un sitio comprometido o malicioso y finalmente tener que hacer clic varias veces en la página. Esta hazaña puede dar como resultado que la última información de identificación del sitio proporcionada por LastPass quede expuesta. Rápidamente trabajamos en el desarrollo de una solución y verificamos que la solución se completara con Tavis. "

De la misma manera que el software debe ser fijado a la última versión, las extensiones de navegador como ciberdelincuentes deben estar constantemente buscando nuevas formas de acceder a la información de identificación del usuario. y otra información sensible.

Por el borde

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir