Vulnerabilidad puede poner en riesgo las claves de LastPass

Bug de lastpass

Un investigador de seguridad informática llamado Sean Cassidy ha informado de que ha encontrado una vulnerabilidad en LastPass que podría ser explotada por los cibercriminales para robar las contraseñas de la app. 

LastPass es una de las plataformas más populares para guardar y gestionar contraseñas, que cuenta con versiones tanto para ordenadores como para dispositivos móviles. Las claves se almacenan aplicando un sistema de cifrado, y este investigador asegura que ha podido burlarlo de una forma sencilla. 

Sean Cassidy ha notificado a la plataforma el problema que ha encontrado, y el sábado pasado presentó su hallazgo en el ShmooCon, una convención de hackers que tuvo lugar en Washington.

De acuerdo con la información aportada por el investigador, las notificaciones que muestra la versión 4.0 de LastPass para avisar de que la sesión ha caducado pueden ser hackeadas para solicitar los credenciales y la autenticación en dos pasos de cualquier usuario. 

Para explotar el bug, Cassidy ha lanzado una herramienta en su perfil de GitHub, llamada LostPass, que demuestra cómo un atacante puede suplantar las notificaciones de LastPass y robar las claves de las víctimas. 

Para llevar a cabo el ataque con LostPass, un usuario tiene que visitar un sitio web con código malicioso, que detectará si el navegador está usando LastPass. En caso afirmativo, imitará la notificación de esta plataforma y, de manera remota, accederá suplantando la identidad de la víctima y obtendrá su contraseña y la autenticación en dos pasos. 

Consejos de seguridad para evitar estafas

Con estos datos en su poder, los ciberdelincuentes tendrán acceso a todas las claves guardadas en el perfil de LastPass y podrán cambiar la configuración, ocultar el acceso o eliminarlo. 

El investigador explica que LostPass funciona mejor en Google Chrome porque utiliza una página de inicio de sesión en HTML, pero señala que podría funcionar también en otros navegadores. 

LastPass ya está trabajando para solucionar la vulnerabilidad, mejorar la seguridad y evitar que los cibercriminales puedan explotar el error.

[Fuente: The Guardian]