La vulnerabilidad de cross-site scripting permitió que fuera posible obtener información de aquellos usuarios de LastPass que tuvieran una sesión iniciada cuando visitaran una página maliciosa. La información que fue posible obtener fueron las cuentas de correo, los recordatorios de las contraseñas y una lista de direcciones IP desde las cuales cada usuario se conectó al sitio.
La vulnerabilidad fue descubierta por el investigador independiente de seguridad Mike Cardwell, quien no pudo explotarla para obtener contraseñas.
LastPass, que tiene cerca de un millón de miembros, almacena los datos de inicio de sesión de sus usuarios en un contenedor cifrado, protegido por una contraseña primaria. Los usuarios inician sesión en el sitio para extraer esta información ya sea a través del sitio web o utilizando una extensión del navegador.
Cardwell reportó la divulgación no autorizada de información a LastPass, quien actuó rápidamente, pues en menos de tres horas corrigió la vulnerabilidad. En un comunicado, LastPass explicó como ha mejorado su seguridad para prevenir que se repita el desafortunado incidente, incluyendo el protocolo SSL en las solicitudes web que se realicen al dominio Lastpass.com.
La explicación es una de las más completas que hemos visto en muchos meses y de hecho sirve para proporcionar confianza a los usuarios de LastPass, quienes demuestran que tienen la confianza para enfrentar el problema en vez de enterrarlo bajo la alfombra.
LastPass indicó que después de una revisión de sus bitácoras comprobó que ningún usuario, además del investigador Cardwell, pudo explotar la vulnerabilidad.
Sin embargo, Cardwell sigue preocupado. "Creo que esto es un problema de su arquitectura y que algo podría fácilmente romperse en el futuro", indicó.
Fuente: The Register DB/GC
No hay comentarios:
Publicar un comentario