LastPass continua siendo parte de los titulares y nuevamente es por malas razones. El servicio de gestión de contraseñas no es precisamente el mejor ejemplo de confianza. De fallos críticos de seguridad en sus extensiones para Chrome y Firefox, a terribles bugs que permiten robar todas las contraseñas de un usuario en un click, hasta haber sido hackeados filtrandose información personal de sus usuarios. Todo esto en menos de dos años.

El más reciente fallo de seguridad que se les ha descubierto, es un problema bastante grave con la forma en la que implementan el proceso de verificación en dos pasos. Un atacante podría deshabilitar la autenticación en dos factores si ya tiene la contraseña, básicamente, los dos factores no existían realmente.

El bug fue reportado por el investigador Martin Vigo, y LastPass ha emitido un comunicado anunciado que el fallo fue resuelto. Sin embargo, aunque LastPass explica que para que un atacante pudiese haber explotado el problema tendías habría tenido que tomar varios pasos para saltar el Autenticador de Google y además tendría que haber atraído al usuario a un sitio web malicioso primero.

Martin Vigo tiene una historia diferente: el investigador explica cómo LastPass estaba usando un hash de la contraseña del usuario para generar el código QR que se usaba para establecer la autenticación en dos pasos en el dispositivo de un usuario. Es decir, LastPass estaba guardando la semilla secreta de la verificación en dos pasos bajo una URL que puede ser derivada …