Lastpass hackeado y contraseñas expuestas ¡actualiza!
Se ha descubierto que el programa de administración de contraseñas LastPass posee una vulnerabilidad en su código que deja algunas contraseñas accesibles. Ya se ha lanzado un parche de emergencia, que recomendamos aplicar ahora.
Fué David Hughes, lector de la página de tecnología PCMag quien informó de la vulnerabilidad, confirmando que el problema apareció tras la última actualización de la aplicación. El parche que corrige el problema ya está disponible y recomendamos encarecidamente descargar la última version de LastPass. El problema afecta a usuarios de Internet Explorer con la versión 2.0.20 de LastPass.
Lastpass hackeado y contraseñas expuestas
Este lector informó de que, al realizar un volcado de memoria sobre IE, fué capaz de recuperar contraseñas guardadas por el programa en texto plano. Parece ser que cuando el administrador de contraseñas autocompleta campos en Internet Explorer, las contraseñas no encriptadas permanecen accesibles en memoria.
Las contraseñas de versiones anteriores no parecen estar afectadas, ya que al cerrar IE la memoria es limpiada. Adicionalmente, las contraseñas que no han sido empleadas en campos auto-completados permanecen encriptadas y no están afectadas por la vulnerabilidad.
Aunque el problema suena a grave, el alcance del problema es limitado, según afirman los responsables del programa, «este problema concreto sería muy díficil de aprovechar, requiriendo que estés usando IE, te hayas logueado en LastPass para desencriptar los datos, ejecutes un volcado de memoria, explores el mismo y consigas por fin localizar algunas contraseñas».
Dejando esto a un lado, volcar la memoria es mucho más fácil de conseguir cuando se tiene acceso directo al ordenador destino -algo que un atacante es improbableque posea-. Si un atacante puede acceder a tu máquina de forma remota y ejecutar el volcado, entonces si tendremos de que preocuparnos.
Permance seguro
Si estás usando esta versión de LastPass bajo IE, el parche desarrollado conseguirá resolver la vulnerabilidad, asi que lo mejor es actualizar inmediatamente.
El uso de este tipo de aplicaciones es altamente recomendable, por lo que si has perdido la confianza en este programa quizá deberías considerar alguna de las alternativas recomendadas, como DashLane 2.0
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.