Se você usa um gerenciador de senhas é quase garantido que você tenha um relacionamento bem íntimo com o mesmo, já que confia muito da segurança da sua vida a ele. Ou seja, todas as suas senhas.

E se você entrar em uma página de login falsa do Facebook ou do próprio Lastpass pode passar por problemas … porque … o gerenciador de senhas da Logmein não é invencível.

E como demonstrado pelo especialista em segurança Sean Cassidy na conferência de segurança ShmooCon é bom que nós, clientes da LastPass estejamos bem atentos que pode permitir que percamos senhas nossas através de ataques de phishing.

Ou seja, se alguém é levado a entrar seus detalhes em um janela-popup como é mostrado na imagem principal todas as suas senhas podem cair em mãos erradas e com isto toda sua vida digital (e outros possíveis dados já que dá inclusive para guardar dados de cartão e outros no LastPass ) e infelizmente, após isto será necessário muito esforço para retormar o controle de toda sua vida online.

Usando uma técnica que ele deu o nome de LostPass Cassidy apresentou uma janela popup do LastPass que parecia bastante similar ao original da empresa. E como o LastPass usa uma senha mestra que um usuário deve entrar todas as vezes que acessar um site para que ele entre a senha nos formulários de login … com esta senha mestra o meliante teria a vida inteira da pessoa nas mãos.

Usando uma configuração semelhante um ataque de phishing pode enganar o usuário para que ele entre os seus dados e irá acabar carregando uma fonte interna com seus dados.

Imagine uma pessoa com seu login de redes socias … ou até dados bancários que você tem guardados no seu Lastpass … complicado né ?

Os representantes da empresa foram rápidos em dizer que isto não é uma falha no Lastpass em particular, já que ataques de phishing são semelhantes e podem ser efetuados em qualquer tipo de programa.

O problema é que explora uma falha que está no top 10 da OWASP a anos, ou seja, o “cross-site request forgery”  que permite que qualquer site envie uma notificação de logout para o LastPass.

É assustador que uma empresa que promete segurança seja vulnerável a algo tão documentado como isto já está a anos.

O que é interessante para o usuário é que ele se policie muito e procure notar todos os detalhes como o endereço e outros dados para evitar que alguém pegue todas as suas senhas.

E, é bom sempre que o usuário ative a autenticação de dois fatores pois irá evitar que suas senhas sejam comprometidas.

Esperemos que a empresa seja séria e realmente tome uma ação quanto a isto, porque, realmente … já não é o primeiro problem que tivemos nos últimos tempos com eles, e, agora, já que a LogmeIn comprou, e prometeu melhoras … ser susceptível a este tipo de ataque … é complicado né ?