Fallo de seguridad en LastPass podría haber permitido a los atacantes robar contraseñas a través de las extensiones del navegador web
Una vulnerabilidad de seguridad en LastPass podría haber permitido a los atacantes malintencionados robar las contraseñas de los usuarios, reveló un investigador esta semana.
El lunes, el investigador de Google Tavis Ormandy informó sobre la vulnerabilidad en la popular herramienta de administración de contraseñas. En un resumen del problema, Ormandy explica que un error de codificación que permitió a cualquier persona "proxy" enviar mensajes no autentificados a la extensión del navegador LastPass. Al explotar este fallo, un pirata informático podría obtener acceso a comandos de LastPass con privilegios, incluidos "los obviamente peligrosos", como "copiar y completar contraseñas (copypass, fillform, etc.)".
LastPass, en una breve publicación de blog publicada hoy, explicó que el problema estaba relacionado con una función experimental que se incluia en todos los clientes de LastPass para el navegador web. (Ormandy reportó múltiples vulnerabilidades, aunque la compañía dijo que son "básicamente iguales"). La compañía emitió un parche antes de que la vulnerabilidad fuera revelada públicamente, y dice que las actualizaciones para los usuarios deberían aplicarse automáticamente. LastPass actualmente no está pidiendo a los usuarios que actualicen sus contraseñas.
"No tenemos indicios de que ninguna de las vulnerabilidades reportadas haya sido explotada, pero estamos haciendo una revisión exhaustiva en este momento para confirmar", dijo la compañía en la publicación del blog. "Pronto proporcionaremos un resumen más completo de los eventos y sobre lo que nuestra comunidad necesita saber".
Esta no es la primera vez que Ormandy informa un problema en LastPass. El año pasado, el investigador envió un informe sobre "una completa vulneabilidad remota" a la empresa.
Very impressed with how fast @LastPass responds to vulnerability reports. If only all vendors were this responsive 👍
— Tavis Ormandy (@taviso) 22 de marzo de 2017
En Twitter, esta vez acreditó a LastPass con una respuesta rápida. "Estoy muy impresionado con la rapidez con la que @LastPass responde a los informes de vulnerabilidad", escribió. "Si solo todos los vendedores fueran tan receptivos".