LastPass, il programma freeware per la gestione delle password web, presenta un bug che gli hacker possono sfruttare per trafugare le credenziali di accesso, anche le chiavi di autenticazione a due fattori.

A scovare la vulnerabilità è un ricercatore, secondo cui la falla nel sistema di LastPass potrebbe essere sfruttata da malintenzionati per trafugare le password degli utenti tramite tecniche di phishing. In occasione della conferenza per hacker ShmooCon, tenutasi in quel di Washington D.C, Sean Cassidy ha fatto vedere come, nel momento in cui il browser mostra una schermata falsa simile a quella di LastPass per Chrome, l’utente medio di turno possa essere spinto a inserire la master password senza rendersene conto e “regalando” all’hacker le password di tutti i siti web associati al servizio.

Il problema è stato segnalato già nel mese di novembre ed è stato prontamente debellato dai ragazzi di LastPass. È bene sottolineare che LastPass memorizza e sincronizza le password su tutti i dispositivi dell’utente tramite il cloud, mentre altre piattaforme rischiano (almeno in linea teorica) decisamente meno archiviando le credenziali solo localmente.