Falhas em gestores de senhas na nuvem ^{CEFR B2}

Investigadores do Applied Cryptography Group da ETH Zurich analisaram três gestores de senhas na nuvem — Bitwarden, LastPass e Dashlane — usados por cerca de 60 milhões de pessoas e que representam 23% do mercado conjunto. A equipa inclui Matilda Backendal, Matteo Scarlata, Kenneth Paterson e Giovanni Torrisi; Backendal e Torrisi trabalham atualmente na Università della Svizzera italiana, em Lugano.

Os testes simularam um servidor comprometido que age de forma maliciosa. Os pesquisadores demonstraram 12 ataques ao Bitwarden, 7 ao LastPass e 6 ao Dashlane. Os ataques variaram desde aceder a cofres de utilizadores específicos até comprometer totalmente todos os cofres de uma organização. Na maioria dos cenários, a equipa conseguiu aceder às senhas e, em alguns casos, alterá‑las. Os ataques usaram interações simples dos utilizadores, como iniciar sessão, abrir o cofre, ver senhas ou sincronizar dados.

Os investigadores ficaram surpreendidos com a gravidade das vulnerabilidades. Scarlata apontou que esforços para adicionar funcionalidades de recuperação e partilha tornaram o código mais complexo e aumentaram a superfície de ataque, e a equipa notou o uso de tecnologias criptográficas antigas. Seguiram divulgação responsável e deram 90 dias para correção; Paterson disse que a maioria foi cooperativa, mas nem todas agiram com rapidez, e houve receio de que atualizações possam fazer clientes perder acesso aos seus dados.

As recomendações incluem atualizar sistemas para novos clientes, oferecer migração aos clientes existentes e ser claro sobre segurança. Os utilizadores devem preferir gestores com auditorias externas e encriptação ponta a ponta ativada por defeito. "Queremos que o nosso trabalho ajude a trazer mudanças nesta indústria", afirmou Paterson. Fonte: ETH Zurich.