31 oct 2015

Demuestran vulnerabilidades críticas en 1Password y LastPass... y KeePass

Un desarrollador de Microsoft, Dale Myers, ha hecho público en su blog personal que 1Password almacena los datos sin cifrar para el servicio 1PasswordAnywhere, y lo hace con un archivo llamado 1Password.html que es accesible desde cualquier navegador y podría ser indexado sino tenemos cuidado. Este archivo HTML contiene los datos sin cifrar y corremos un gran riesgo si se filtra o publica en alguna página web.
El equipo de desarrollo de AgileBits ya está trabajando para solucionar ese problema de seguridad y ha publicado un artículo explicando porqué (según su óptica) no es una vulnerabilidad.

Además, en LastPass -recientemente adquirido por LogMeIn- también se puede atacar la base de datos de contraseñas. El próximo 10 al 13 de noviembre tendrá lugar Black Hat Europa. Una de las conferencias que ha llamado la atención está enfocada a este gestor de contraseñas, concretamente a demostrar cómo es posible acceder a todas las entradas de la base de datos sin demasiada dificultad.

En esta conferencia, Alberto García y Martín Vigo van a mostrar varias formas de robar y descibrar una base de datos completa de LastPass. En primer lugar, van a demostrar cómo es posible utilizar la función de recuperar cuenta para conseguir incluso la clave de cifrado con la que acceder a todos los datos almacenados en la base de datos de esta plataforma. También mostrarán cómo es posible evadir la doble autenticación que permite configurar esta plataforma.

Para agilizar el proceso mostrarán también como han creado un Metaesploit capaz de buscar una base de datos de LastPass y aprovechar las debilidades para acceder a toda la información almacenada en ella. Sin duda, un peligro considerable dado que LastPass no sólo almacena los nombres de usuario y las contraseñas de diferentes plataformas web, sino que también guarda en su base de datos otro tipo de información como cuentas bancarias, tarjetas de crédito, claves ssh, registros personales, etc.

Mientras, puedes seleccionar cualquier otro gestor de contraseñas

Actualización: Keepass funciona en forma local pero a través de la herramienta KeeFarce se puede volcar la información de las contraseñas (funciona hasta la versión 2.30 actual).

Actualización: han demostrado el ataques a LastPass en BlackHat Europe.

Fuente: Open Security y Redes Zone

Suscríbete a nuestro Boletín

2 comentarios:

  1. Estimados,

    el team de agilebits me hicieron llegar este enlace en relación al articulo:

    Lo comparto:

    https://t.co/WXslHisgPk

    ResponderBorrar
    Respuestas
    1. Gracias, ese artículo ya está enlazado en el post.
      Cristian

      Borrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!