∴ Diogenes Bandeira - Consultor de Segurança Eletrônica ∴

∴ Diogenes Bandeira - Consultor de Segurança Eletrônica ∴

Ataque de crackers à LastPass pode ter revelado passwords


Os sistema de proteção de senhas da LastPass pode revelar dados de autenticação se sujeito a determinado ataque, conforme comprovou o CFO da Praesidio, Sean Cassidy, na conferência Shmoocon, no último Sábado.

O ataque é relativamente simples. As notificações exibidas pela versão 4.0 da LastPass nas janelas do browser podem ser falsificadas, levando as pessoas a revelarem os seus dados de autenticação. Os atacantes podem ter acesso à password central para aqueles dados, de acordo com o responsável.

A Praesidio disponibilizou uma ferramenta no GitHub, chamada LostPass, que mostra como um intruso poderá falsificar alertas do LastPass e eventualmente, enganar o usuário de modo a este revelar os dados de autenticação.

Em seu blog, o CFO da Praesidio explica como a empresa alerta os usuários quando estes são desligados da aplicação. Mas o aviso é mostrado através de uma janela do browser e o mesmo alerta pode ser criado e desencadeado por um atacante, atraindo a vítima para um site nocivo.

Para a prova de conceito do seu ataque, o responsável comprou o “chrome-extension.pw”. No caso de haver uma ofensiva e a autenticação de dois fatores estiver ativada, o “token” de acesso também pode ser roubado.

Nessa situação, todas as passwords da vítima podem ser recolhidas usando a API do LastPass diz Cassidy.

Cassidy já notificou a LastPass e em uma mensagem em seu blog oficial, a empresa disse já ter realizado melhorias que deverão dificultar o roubo sem que o usuário saiba.


Fonte: CIO - IDG News Service
Ataque de crackers à LastPass pode ter revelado passwords Ataque de crackers à LastPass pode ter revelado passwords Reviewed by Diogenes Bandeira on 10:00:00 Rating: 5

Nenhum comentário:

Pixel Segurança Eletrônica

Pixel Segurança Eletrônica
Tecnologia do Blogger.