LastPass, el popular gestor de contraseñas compatible prácticamente con cualquier sistema operativo y plataforma existente, acaba de anunciar a través de de una entrada en su blog la existencia de algunas vulnerabilidades que afectarían a la seguridad del servicio. A pesar de ello, aseguran que no han sido explotadas ni han afectado de modo alguno a los usuarios, pero han creído necesario alertar a los mismos.
Tal y como explican en su blog, todo empezó cuando en agosto de 2013, Zhiwei Li, un investigador de seguridad, contactó con ellos con el fin de alertarles acerca de la existencia de algunas vulnerabilidades en su servicio. Concretamente, el problema se encontraba en los marcadores de LastPass (utilizados por menos del 1% de sus usuarios), así como en las contraseñas de un solo uso (OTPs). Al parecer, el problema podría haber sido explotado si el usuario hizo uso del marcador en un sitio web que conociese el fallo y estuviese preparado para aprovecharlo. Otra forma por la cual el fallo de seguridad podría haber sido explotado sería si el usuario accedió a un sitio web atacante mientras estaba conectado a su LastPass, habiendo permitido que el atacante utilizase los datos personales del usuario para crear una contraseña de un solo uso falsa. A pesar de ello, se trata de algo improbable, ya que es prácticamente imposible que se hayan dado todas estas condiciones con el fin de aprovechar el bug.
El equipo de LastPass asegura que no tiene constancia alguna de que nadie aparte de su equipo de investigadores haya tenido conocimiento del bug. A pesar de ello, si lo crees conveniente, puedes cambiar la contraseña del servicio o todas tus contraseñas almacenadas, aunque afirman que no es necesario en absoluto. Por supuesto, las vulnerabilidades ya han sido solucionadas.