Domingo, 27 de febrero de 2011
LastPass y una grave vulnerabilidad
LastPass es el servicio más popular para almacenar nuestras contraseñas en forma segura, con extensiones para los navegadores más populares (Chrome, IE, Firefox, Safari y Opera) y también para plataformas móviles. Pero ni siquiera un sitio que basa su fortaleza en la seguridad está excento de los ataques y las vulnerabilidades, y esta vez les ha tocado.
Ha sido un desarrollador llamado Mike Cardwell quien ha descubierto una grave vulnerabilidad en LastPass, en concreto una llamada Cross Site Scripting (XSS) que es bastante común en aplicaciones y servicios web y permite a un atacante detectar los sitios web en los cuales hemos estado previamente, y obtener los datos de login.
Lo peor del caso es que la vulnerabilidad no se encuentra en la extensión para algún navegador en particular, ni tampoco en las capas de transporte o sesión de su servicio, sino que está en la implementación en su sitio web, por eso han sido más susceptibles a este problema en particular.
Por suerte Cardwell le ha dado toda la información a LastPass primero, antes de hacerla pública, y en el servicio ya han tomado medidas en el asunto por lo cual con actualizar a la última versión estamos, en teoría, seguros, pero el hecho de que LastPass no utilice HSTS (una especie de nexo entre navegador y HTTPS para el almacenamiento y transporte de datos) hace sospechar que estas vulnerabilidades, o similares, pueden volver a aparecer en el futuro.
Más información: Blog de Mike Cardwell
29 de abril de 2011 - 20:20
[...] luego, esto funciona solo para quienes tienen su cuenta de LastPass, de modo que primero tenemos que iniciar sesión y luego darle click al botón de “Start the [...]