A segurança de suas senhas pode estar comprometida. Especialistas em segurança da ETH Zurich e da USI University revelaram vulnerabilidades preocupantes em quatro dos mais utilizados gerenciadores de senhas baseados em nuvem: Bitwarden, LastPass, Dashlane e 1Password. Essas falhas podem abrir as portas para que hackers violem suas credenciais, expondo milhões de usuários a riscos de roubo de dados.
Vulnerabilidades Expostas em Gerenciadores Populares
A análise minuciosa dos pesquisadores detectou problemas sérios que permitem o acesso não autorizado de agentes maliciosos. Uma vez dentro dos sistemas, os criminosos conseguem não apenas visualizar as senhas do usuário, mas também têm o poder de alterá-las. A descoberta foi o resultado de uma série de 27 cenários de ataques bem-sucedidos contra esses gerenciadores, com investidas que variaram em gravidade, desde violações de integridade até o comprometimento total dos cofres digitais das vítimas fictícias.
A Falsa Promessa de “Conhecimento Zero”
Os provedores desses gerenciadores, que frequentemente alegam oferecer uma “prova de conhecimento zero” em suas criptografias, foram desafiados pelas descobertas. Os cenários de ataques evidenciaram uma falsa sensação de segurança para os usuários. Entre as observações dos especialistas, foram encontrados antipadrões de projeto e erros criptográficos, incluindo chaves públicas não autenticadas, ausência de vínculo criptográfico entre dados e metadados, e uma separação insuficiente das chaves guardadas.
Cenários de Ataques e Sequestro de Cofres
As simulações de ataques demonstraram que invasores poderiam comprometer totalmente os cofres dos usuários por meio de processos de recuperação de contas e pela ausência de verificações robustas. Cofres compartilhados por meio de chaves públicas também foram violados. Em um dos exemplos mais alarmantes, a Bitwarden foi utilizada para ilustrar como um hacker poderia assumir o controle do servidor e sequestrar o cofre de um usuário de forma silenciosa, apenas enviando um convite que parecia legítimo.
Como Proteger Suas Credenciais
As fornecedoras dos gerenciadores vulneráveis foram devidamente acionadas acerca do problema. Para usuários preocupados com a segurança de suas credenciais, a recomendação principal dos especialistas é combinar métodos de autenticação robustos, como a separação de chaves e a criptografia multifator. Essa abordagem aumenta significativamente a segurança, dificultando a ação de agentes maliciosos e protegendo suas informações mais sensíveis.
Fonte: canaltech.com.br