Para el que nunca haya utilizado los servicios de LastPass, comentarle que hablamos nada menos que de una de las plataformas más famosas para guardar y gestionar las contraseñas que suele utilizar un usuario para cualquier de sus quehaceres en internet diarios. Según se ha comunicado a través del blog oficial del servicio, al parecer sus desarrolladores de software han conseguido arreglar dos agujeros seguridad que, al parecer y según comentan, podían permitir que un atacante robase todas las contraseñas de un usuario con un solo click.
Ahora bien, esta solución tuvo que hacerse contrarreloj tras un email enviado a LastPass por Mathias Karlsson, un investigador que reportó uno de los bug que, al no recibir respuesta por parte de la empresa, decidió publicar la historia del mismo en su web. Una vez la historia fue publicada, en LastPass se pusieron manos a la obra alegando, curiosamente, que la seguridad es una total y absoluta prioridad para la empresa. A su vez también han publicado y detallado todas las características de los errores.
LastPass arregla dos fallos de seguridad de su plataforma en tiempo récord
En cuanto a los errores detectados, por un lado encontramos un fallo producido porque el código de análisis de la URL era defectuoso. Debido precisamente a este fallo un atacante podía utilizar las credenciales del llavero de LastPass en páginas web fraudulentas, con la posibilidad de robar las claves de los principales servicio online de forma sencilla y, literalmente, en tiempo récord.
En segundo lugar, al parecer existía un error en la extensión de LastPass para Firefox de forma que un atacante podría atraer a la víctima hasta un sitio web malicioso y, una vez allí, la página podía ejecutar acciones en la aplicación en segundo plano sin que el usuario se diese cuenta de ello.