El investigador de seguridad Tavis Ormandy, de Google Project Zero, ha reportado problemas de seguridad en LastPass, el popular programa gestor de contraseñas.
Al menos uno de los problemas compromete la cuenta del usuario y toda la información contenida en ella, léase cuentas de usuario y contraseñas. Para explotar el fallo de seguridad día-cero el atacante debe persuadir al usuario para que visite un sitio malicioso diseñado especialmente para ello.
Tavis Ormandy encontró otros problemas en LastPass, los cuales ha considerado críticos aunque no dijo más detalles. Lo que sí hizo fue reportar el hallazgo a LastPass, que ya trabaja en la corrección.
Full report sent to LastPass, they’re working on it now. Yes, it’s a complete remote compromise. Yes, I promise I’ll look at 1Password.
— Tavis Ormandy (@taviso) July 27, 2016
Tavis ha puesto su atención para revisar la seguridad de 1Password, otro gestor de contraseñas.
A principios del año el investigador de seguridad Sean Cassidy, de Praesidio, reportó un ataque phishing a LastPass que permitiría el robo de credenciales almacenadas en la cuenta del usuario.