Pesquisadores identificam vulnerabilidades graves nos gerenciadores de senha Bitwarden, LastPass e Dashlane

Durante os testes, foi possível visualizar e até modificar senhas armazenadas nos cofres digitais dos usuários, o que contraria a promessa de “zero-knowledge encryption”, modelo de criptografia em que o provedor do serviço não tem acesso ao conteúdo armazenado pelo usuário. Somadas, as três empresas concentram cerca de 60 milhões de usuários e 23% de participação de mercado.

Os pesquisadores simularam um cenário em que o servidor do gerenciador de senhas é comprometido e passa a agir de forma maliciosa. Em diversos casos, bastaram interações rotineiras, como realizar login, abrir o cofre, visualizar senhas ou sincronizar dados, para que os ataques fossem executados com sucesso.

Segundo a equipe, algumas das plataformas ainda utilizam tecnologias criptográficas desenvolvidas na década de 1990, hoje consideradas obsoletas. Não está claro quais empresas já implementaram medidas para mitigar as vulnerabilidades apontadas.

Os pesquisadores recomendam que usuários priorizem gerenciadores de senha transparentes quanto a vulnerabilidades, submetidos a auditorias externas independentes e que ofereçam criptografia de ponta a ponta ativada por padrão.