El investigador de seguridad Sean Cassidy ha descubierto un agujero de seguridad en el conocido servicio de administración de contraseñas LastPass que permitiría a los posibles atacantes acceder a la contraseña maestra de los usuarios.
Cassidy descubrió que cada vez que las sesiones de LastPass expiran mientras el usuario está navegando por la web, el propio portal lo anuncia por medio de notificaciones que «inyecta» en una página de contenidos. Por lo tanto en términos de seguridad este es un fallo importante, ya que expone a los usuarios a diversos ataques similares a los habituales ataques de phishing que se llevan a cabo cuando accedemos a portales bancarios. Cuando comenzó a investigar en profundidad esta debilidad, descubrió que los atacantes podrían utilizar estas notificaciones de LastPass para mostrar a los usuarios falsos mensajes de inicio de sesión y pop-ups dentro de una web.
LEER MAS: http://www.adslzone.net/2016/01/17/descubierto-un-fallo-de-seguridad-en-el-portal-de-gestion-de-contrasenas-lastpass/