Sean Cassidy, un experto en seguridad, demostró que la seguridad del famoso gestor de contraseñas «LastPass» tiene errores. Sus usuarios podrían ser víctimas de phishing.
Para que no tener que memorizar todas las contraseñas, es posible utilizar un gestor de contraseñas para almacenarlos. LastPass es un gestor de contraseñas ampliamente utilizado, sin embargo, no sería tan seguro si los hackers recurren al phishing, ya que fácilmente podrían acceder a todos los datos del usuario. El sitio ha respondido y parece que han reforzado su seguridad.
LastPass: Un famoso gestor de contraseñas vulnerable a los ataques phishing
Fue durante la conferencia de Shmoocon 2016 donde Sean Cassidy, un experto en seguridad, ha demostrado que un ataque de phishing al servicio de LastPass no era muy complicado. El ataque denominado «LostPass«, permite conseuir la contraseña maestra del usuarios de LastPass.
La idea es llevar al usuario a un sitio web malicioso, después una ventana emergente le informa al usuario que se ha desconectado del servicio y lo envía a una ventana de inicio de sesión muy similar a la utilizada por LastPass. El hacker puede recuperar toda la información tranquilamente.
Esta técnica también funciona en el caso de la autenticación de dos factores, el hacker también puede utilizar una falsa página para obtener toda la información necesaria para acceder a la base de datos de todas las contraseñas de usuario engañados.
LostPass revisa sus medidas de seguridad
Desde la publicación del artículo de Sean Cassidy, LostPass reaccionó y mejoró la seguridad del acceso de a su servicio de gestión de contraseñas. Ahora los usuarios que intentan conectarse desde un dispositivo o una dirección IP desconocida, recibirán un correo electrónico y se les pedirá confirmar su identidad, incluso aquellos que han habilitado la autenticación de dos factores.