O LastPass consertou uma falha de segurança que poderia revelar credenciais inseridas em algum site que você visitou anteriormente. Para ter certeza que estão seguros, usuários do aplicativo devem checar se estão rodando a versão mais recente do gerenciador de senhas.

O bug foi encontrado pelo pesquisador de cibersegurança Tavis Ormandy no dia 29 de agosto. O LastPass liberou uma correção no dia 12 de setembro.

De acordo com o LastPass, atores maliciosos poderiam explorar a brecha ao atrair usuários a preencherem as senhas utilizando o ícone do LastPass ao visitar um site comprometido. O usuário seria enganado a clicar na página diversas vezes, o que poderia fazer com que o LastPass revelasse as credenciais utilizadas em um site visitado anteriormente.

O bug acontecia apenas em alguns navegadores – Chrome e Opera, para ser específico – mas o LastPass disse que liberou uma correção para todos os navegadores.

Tecnicamente, você não precisa fazer nada para receber a atualização. O LastPass diz que ela deve ser aplicada automaticamente para todas as extensões de navegadores. Dito isso, quem nunca desabilitou atualizações automáticas e esqueceu de habilitar novamente? Se você usa o LastPass, é uma boa ideia checar manualmente se você está usando a versão 4.33.0 – veja isso acessando a opção “Sobre o LastPass” em seu computador.

O bug também não é um sinal de que você deveria abandonar gerenciadores de senha. Eles ainda são parte vital de boas práticas de segurança digital – e como qualquer serviço, são programados por humanos e, portanto, suscetíveis a bugs ocasionais.

Neste caso, Ormandy revelou a falha ao LastPass por meio de canais apropriados, então não há por que assumir que o bug foi utilizado por pessoas maliciosas.

Inclusive, esse é um bom exemplo do porquê você deveria utilizar autenticação em dois fatores mesmo utilizando um gerenciador de senhas, especialmente para contas sensíveis.

[ZDNet]