Noticias
Descubren problemas críticos evidentes en LastPass
Tavis Ormandy, el conocido investigador de Project Zero de Google, ha descubierto una serie de “problemas críticos evidentes” en LastPass, posiblemente el gestor de contraseñas online más conocido y usado del mundo. Entre los “problemas” encontrados también se ha hallado una vulnerabilidad 0-Day.
Por lo que se puede apreciar en los tweets publicados por Tavis Ormandy, parece que el investigador se ha quedado a cuadros al ponerse a investigar LastPass y haber encontrado una cantidad importante de problemas de seguridad. Después de terminar su investigación, decidió enviar el informe completo a los encargados del gestor de contraseñas para que se pusiesen manos a la obra y empezasen a corregir los problemas encontrados.
Are people really using this lastpass thing? I took a quick look and can see a bunch of obvious critical problems. I’ll send a report asap.
— Tavis Ormandy (@taviso) July 26, 2016
Además de los descubrimientos realizados por Project Zero de Google, el investigador en seguridad Mathias Karlsson también ha anunciado que ha descubierto problemas en el propio LastPass, aunque estos ya han sido resueltos. Karlsson descubrió que podía hackear una cuenta de LastPass con tan solo utilizar una URL específicamente diseñada, pudiendo robar todas las contraseñas de la caja fuerte. Esta vulnerabilidad estaba presente en la función de autocompletado de la extensión de LastPass para navegadores, permitiendo que una expresión regular defectuosa para analizar una URL le diese al atacante la oportunidad de falsificar el dominio de destino. Tras descubrir esta vulnerabilidad, Karlsson fue recompensado con mil dólares. La URL maliciosa tendría un formato como el siguiente:
http://avlidienbrunn.se/@twitter.com/@hehe.php
Tavis Ormandy ha dicho que se pondrá manos a la obra para analizar otros gestores de contraseñas populares como Enpass, KeePass, PasswordState, Dashlane y 1Password. Por otro lado, LastPass ya ha publicado las nuevas versiones de sus extensiones y aplicaciones que corrigen las vulnerabilidades descubiertas recientemente.
Si manejas una gran cantidad de contraseñas posiblemente te convenga usar un gestor. Para saber cuál es el que más te conviene, puedes visitar el especial que publicaron nuestros compañeros de MuyComputer.
Fuente | The Hacker News
El robo de cuentas crece en organizaciones y empresas
DeepSeek ya ha sido puesto a prueba para desarrollar malware
Steve Wozniak alerta del uso de la IA como «herramienta de los delincuentes»
Webinar: Cómo conseguir la máxima disponibilidad y protección de los datos
Acceso remoto y ciberseguridad: superando las vulnerabilidades gracias a la confianza cero y ZTNA
Acronis Ultimate 365, protección de Microsoft 365 sencilla e integrada para MSP
La amenaza sobre los gestores de contraseñas se incrementa
Acceso remoto y ciberseguridad: superando las vulnerabilidades gracias a la confianza cero y ZTNA
Acronis Ultimate 365, protección de Microsoft 365 sencilla e integrada para MSP
Webinar: Cómo conseguir la máxima disponibilidad y protección de los datos
DeepSeek ya ha sido puesto a prueba para desarrollar malware
El robo de cuentas crece en organizaciones y empresas
«La ciberseguridad no es sólo una cuestión de TI, es una prioridad empresarial»
Acronis Ultimate 365, protección de Microsoft 365 sencilla e integrada para MSP
Acceso remoto y ciberseguridad: superando las vulnerabilidades gracias a la confianza cero y ZTNA
Webinar: Cómo conseguir la máxima disponibilidad y protección de los datos
