O LastPass é um dos serviços de gerenciamento de senhas mais populares e é uma opção extremamente cômoda para os usuários. Mas, caso ele seja invadido, só imagine a dor de cabeça. A companhia alertou num post em seu blog que uma grande brecha foi descoberta e descreveu o que os usuários devem fazer neste momento para se manterem seguros.

• Agora você pode acessar gratuitamente suas senhas do LastPass em qualquer dispositivo
• Por que você deveria usar um gerenciador de senhas, apesar de tudo

Tavis Ormandy, pesquisador de vulnerabilidades do Project Zero do Google, tweetou no sábado que ele descobriu uma brecha na última versão do LastPass e que se tratava de um “grande problema de arquitetura”. Faz parte da política do Project Zero revelar os detalhes das vulnerabilidades apenas 90 dias depois de notificar a companhia afetada. Mas, de acordo com Ormandy, essa vai levar um tempo para ser resolvida.

O LastPass reconheceu o problema na segunda-feira e não entrou em detalhes sobre a natureza da brecha. Mas está aconselhando os usuários sobre o que fazer enquanto eles tentam consertar o erro. A recomendação padrão é evitar ataques de phishing e utilizar autenticação em dois passos. Neste momento, a autenticação em dois passos precisa ser simplesmente um estilo de vida, e, por favor, não clique em anexos aleatórios que foram enviados para você por email por um contato desconhecido.

Mas a terceira recomendação é a que está relacionada com o defeito do software. Eles aconselham os usuários a entrarem em todas as contas a partir do cofre do LastPass (a partir daquele botão “Executar), afirmando que “essa é a maneira mais segura de acessar suas credenciais e sites, até que a vulnerabilidade seja resolvida”.

Na verdade, o mais seguro é parar de utilizar a extensão do LastPass até que tudo seja resolvido, trocar todas as suas senhas e habilitar a autenticação em dois passos em tudo.

Ormandy já havia descoberto outras duas vulnerabilidades no LastPass, que foram rapidamente corrigidas. Essa, no entanto, parece demandar um esforço maior. O pessoal do 9to5 Mac aponta que a “vulnerabilidade parece estar presente apenas no Google Chrome“. No entanto, não há nenhuma informação oficial sobre isso, então é preciso presumir que ela afeta todas as versões por enquanto.

A vantagem de um gerenciador de senhas é que ele torna mais provável que você utilize senhas fortes e complexas. Não precisa evitá-los, mas é bom lembrar que todo software tem seus defeitos.

[LastPass via Ars Technica, 9to5 Mac]