Noticias y Alertas
Header

Demuestran vulnerabilidades críticas en 1Password y LastPass… y KeePass…

noviembre 4th, 2015 | Posted by kwelladm in Análisis Forense / Vulnerabilidades | Publicaciones

Un desarrollador de Microsoft, Dale Myers, ha hecho público en su blog personal que 1Password almacena los datos sin cifrar para el servicio 1PasswordAnywhere, y lo hace con un archivo llamado 1Password.html que es accesible desde cualquier navegador y podría ser indexado sino tenemos cuidado. Este archivo HTML contiene los datos sin cifrar y corremos un gran riesgo si se filtra o publica en alguna página web.

El equipo de desarrollo de AgileBits ya está trabajando para solucionar ese problema de seguridad y ha publicado un artículo explicando porqué (según su óptica) no es una vulnerabilidad.

Además, en LastPass -recientemente adquirido por LogMeIn– también se puede atacar la base de datos de contraseñas. El próximo 10 al 13 de noviembre tendrá lugar Black Hat Europa. Una de las conferencias que ha llamado la atención está enfocada a este gestor de contraseñas, concretamente a demostrar cómo es posible acceder a todas las entradas de la base de datos sin demasiada dificultad.

En esta conferencia, Alberto García y Martín Vigo van a mostrar varias formas de robar y descibrar una base de datos completa de LastPass. En primer lugar, van a demostrar cómo es posible utilizar la función de recuperar cuenta para conseguir incluso la clave de cifrado con la que acceder a todos los datos almacenados en la base de datos de esta plataforma. También mostrarán cómo es posible evadir la doble autenticación que permite configurar esta plataforma.

Para agilizar el proceso mostrarán también como han creado un Metaesploit capaz de buscar una base de datos de LastPass y aprovechar las debilidades para acceder a toda la información almacenada en ella. Sin duda, un peligro considerable dado que LastPass no sólo almacena los nombres de usuario y las contraseñas de diferentes plataformas web, sino que también guarda en su base de datos otro tipo de información como cuentas bancarias, tarjetas de crédito, claves ssh, registros personales, etc.

Actualización: Keepass funciona en forma local pero a través de la herramienta KeeFarce se puede volcar la información de las contraseñas (funciona hasta la versión 2.30 actual).

Fuente: Open Security y

 

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Deja un comentario