Uma prova de que não existem sistemas 100% seguros, como nada na vida, encontramos agora um bug no aplicativo para Windows do gestor de senhas LastPass, serviço dedicado ao armazenamento de senhas em um servidor seguro para permitir aos usuários se identificarem automaticamente nos sites onde estão registrados. O bug afeta unicamente aqueles usuários que usam a versão 1.0.20 do plugin de LastPass em equipamentos com Windows, afetando só ao complemento para Internet Explorer, eliminando-se os dados ao sair do próprio navegador.
O bug permite mostrar algumas das senhas dos próprios usuários, embora para explorá-lo, os atacantes tenham que despejar um pouco da memória, sempre que os usuários afetados tentarem se conectar de um processo a outro, permitindo, assim, ao atacante ter acesso às senhas utilizadas durante a última sessão de navegação, inclusive se o navegador já não fizer registros com LastPass. Os atacantes também poderiam aproveitar o acesso físico dos computadores afetados para explorar a vulnerabilidade.
Segundo um porta-voz da companhia:
Quando exploradas, as senhas armazenadas em LastPass eram acessíveis ao realizar um despejo de memória do navegador (…) Se um usuário iniciou sessão no IE e no complemento de LastPass descifraria assim localmente seus dados, as senhas que foram utilizadas nessa sessão de navegação seriam visíveis ao despejar a memória como resultado.
Neste sentido, a mesma companhia já lançou uma atualização para resolver o problema, cumprindo assim com a privacidade e segurança dos dados dos próprios usuários, como disse o mesmo porta-voz a Mashable.
Em qualquer caso, o alcance do problema teria sido mínimo, embora o rápido oferecimento de uma solução é um detalhe a se levar em conta paa este tipo de situações. Além disso, os usuários podem continuar confiando nos serviços de gestão de senhas, já que para LastPass, continua sendo uma via mais segura que confiar na típica informação de registro para acessar às contas de usuários em diferentes serviços.
Se você é um dos muitos usuários afetados, pode baixar a atualização neste link.