Senhas do LastPass podem ser roubadas usando phishing
Golpe explora vulnerabilidade listada há anos em top 10 da OWASP
No último sábado (16) em Washington, durante a conferência ShmooCon, Sean Cassidy — pesquisador em segurança — demonstrou um ataque de phishing que potencialmente permite o roubo das senhas armazenadas no LastPass. Cassidy até deu um apelido para o golpe: LostPass.
O ataque explora uma feature do aplicativo que o distingue de outros serviços de armazenamento/criação de senhas; o LastPass usa plugins para browsers, diferentemente de aplicativos como o PasswordSafe — que funcionam apenas como clients independentes do navegador.
“O LostPass funciona porque o LastPass mostra mensagens diretamente no browser e os atacantes podem falsificá-las. O usuário não consegue distinguir uma mensagem legítima de uma mensagem falsa porque elas são idênticas, pixel por pixel”
Segundo o pesquisador, esse golpe é possível graças a uma vulnerabilidade de “cross-site request forgery”, há anos no top 10 da OWASP, que permite que qualquer site envie uma notificação de logout para o LastPass.
O golpe acontece quando a vítima é levada a visitar um site falso através de uma mensagem de phishing. Este gera uma notificação no browser da vítima informando que ela foi desconectada do LastPass. Ao digitar usuário e senha na tela de autenticação, a senha principal é roubada.
Combinada a outras táticas de engenharia social também é possível pedir outras coisas ao usuário, como códigos do segundo fator de autenticação.
A partir daí, o atacante pode usar a informação coletada para baixar e descriptografar as senhas da vítima, explorando outro "diferencial" do LastPass em relação aos seus concorrentes: o LastPass encoraja seus usuários a criptografar e salvar suas senhas nos servidores da empresa. Outros serviços, como o KeePass e o já citado PasswordSafe geram arquivos cuja responsabilidade pela proteção é do usuário.
Dessa forma, uma vez acessando a conta da vítima, o atacante consegue baixar o arquivo contendo todas as suas senhas.
Desde sábado a empresa está encorajando novos usuários a habilitarem um segundo fator de autenticação. Uma atualização do aplicativo que impede o logout não intencional também foi liberada. A nova versão também traz a implementação de alertas que avisam sobre formulários de login do LastPass falsificados.
Siga-nos no Facebook, Twitter e Linkedin. Assine nossa newsletter e receba novidades toda a semana.
