Buena prueba de que no existen sistemas 100% seguros, como nada en la vida, la tenemos en un bug encontrado en la aplicación para Windows del gestor de contraseñas LastPass, servicio dedicado al almacenamiento de contraseñas en un servidor seguro para permitir a los usuarios identificarse automáticamente en aquellos sitios web donde estén registrados. El bug afecta únicamente a aquellos usuarios que usen la versión 1.0.20 del plugin de LastPass en equipos bajo Windows, afectando sólo al complemento para Internet Explorer, eliminándose los datos al cerrar sesión del propio navegador.
El bug permite mostrar algunas de las contraseñas de los propios usuarios, aunque para explotarlo, los atacantes deberían realizar un volcado de memoria, que se realizaría cuando los usuarios afectados intentan conectarse de un proceso a otro, permitiendo así al atacante tener acceso a las contraseñas utilizadas durante la última sesión de navegación, incluso si el navegador ya no hace registros con LastPass. Los atacantes también podrían aprovechar el acceso físico de los ordenadores afectados para explotar la vulnerabilidad.
Según un portavoz de la compañía:
Si se explota, las contraseñas almacenadas en LastPass eran accesibles al realizar un volcado de memoria del navegador (…) Si un usuario ha iniciado sesión en IE y en el complemento de LastPass descifraría así localmente sus datos, las contraseñas que se habían utilizado en esa sesión de navegación serían visibles en el volcado de memoria como resultado.
En este sentido, la misma compañía ya ha lanzado una actualización para solventar el problema, cumpliendo así con la privacidad y seguridad de los datos de los propios usuarios, como dijo el mismo portavoz a Mashable.
En cualquier caso, el alcance del problema hubiera sido mínimo, aunque el rápido ofrecimiento de una solución es un detalle muy a tener en cuenta para este tipo de situaciones. Además, los usuarios pueden seguir confiando en los servicios de gestión de contraseñas, ya que a juicio de LastPass, sigue siendo una vía más segura que confiar en la típica información de registro para acceder a las cuentas de usuarios en diferentes servicios.
Si eres uno de los usuarios afectados, puede descargarte la actualización desde este enlace.