O problema foi confirmado nas extensões oferecidas para os navegadores Chrome e Opera, mas o site também precisava oferecer certos recursos técnicos específicos para que a falha fosse explorada.

Programas como o LastPass servem para guardar todas as senhas que um usuário tem em sites e serviços. Essa tecnologia dispensa a memorização da senha e permite o uso de senhas complexas e únicas para cada serviço, mas cabe ao software evitar que a senha seja fornecida de forma indevida — e era isso que estava acontecendo.

A falha foi descoberta no dia 29 de agosto pelo pesquisador de segurança Tavis Ormandy, do Projeto Zero do Google. O Projeto Zero é formado por uma equipe de especialistas que caçam vulnerabilidades em diversos softwares de relevância do mercado, mesmo que não haja envolvimento do Google.

Após serem informados da brecha, os desenvolvedores têm 90 dias para corrigir o problema antes do Projeto Zero divulgá-lo publicamente. A LastPass eliminou a falha duas semanas após ser alertada, com o lançamento do LastPass 4.33.0.

Ormandy descobriu que uma das telas da extensão do LastPass podia ser aberta diretamente pelas páginas visitadas, pulando uma etapa que normalmente limpava as senhas da memória. Uma página maliciosa poderia se aproveitar disso para que a última senha usada fosse preenchida em um formulário falso, vazando a credencial.

Para funcionar, o ataque dependia de "clickjacking": a vítima teria que clicar em uma área especificada pela página. Em casos como este, sites falsos podem enganar as vítimas pedindo cliques em jogos ou ofertas, escondendo o verdadeiro botão que está recebendo o clique.

O site legítimo onde a senha foi preenchida também precisava utilizar um recurso técnico específico, chamado de "iframe", para viabilizar o roubo da credencial. Apesar de "iframes" serem comuns, nem todos os sites usam o recurso da forma que os deixaria expostos à exploração da brecha no LastPass.

Para melhorar as chances de sucesso da fraude, um hacker poderia criar uma página com algum atrativo para convencer a vítima a fazer login em um site específico, obrigando o LastPass a deixar na memória uma senha suscetível a roubo.

Como a brecha foi descoberta pelo próprio Ormandy, não há indícios de que hackers tenham explorado o erro em ataques reais.

A atualização do LastPass deve ser baixada automaticamente para proteger os usuários do serviço.

O LastPass afirmou que aprecia e incentiva contribuições para a segurança do seu serviço, mas avaliou que as circunstâncias de exploração da brecha descoberta por Ormandy são "limitadas".

Mesmo assim, a companhia orienta seus usuários a não clicar em links de fontes desconhecidas, nem em links enviados por amigos que estejam agindo de maneira diferente do habitual. Sempre que possível, deve ser usada a autenticação multifator (também chamada de "verificação em duas etapas") para colocar uma segunda barreira no processo de login.

Já a senha-mestra do LastPass, que desbloqueia todas as outras senhas armazenadas, deve ser única e exclusiva para o serviço.

Com a recorrência de episódios de vazamentos, o uso de senhas exclusivas em cada site ajuda a evitar transtornos e o ataque de credential stuffing. Gerenciadores de senha como LastPass oferecem uma solução para quem se cadastra em muitos sites e não quer depender da memorização de senhas repetidas ou fracas.

Embora falhas em gerenciadores de senhas sejam descobertas de tempos em tempos por especialistas em segurança, os ataques realizados contra esses serviços normalmente são intermediados por vírus e não dependem de falhas de segurança. Quando o computador está contaminado com alguma praga digital, o código malicioso pode capturar a senha-mestra do serviço quando ela for digitada.

Em suas orientações, a LastPass também destacou a importância de manter o computador livre de vírus utilizando um antivírus atualizado.

Uma alternativa é utilizar um aplicativo gerenciador de senhas no celular, onde nem mesmo apps maliciosos têm acesso fácil aos dados de outros programas. Embora isso sacrifique a conveniência do preenchimento automático das senhas no navegador do computador ou do notebook, isso deixará as senhas fora do alcance de vírus e até de roubo físico, desde que o celular tenha uma boa senha de bloqueio.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com