Vulnerabilidades críticas foram descobertas em três gerenciadores de senhas baseados em nuvem: elas permitem que hackers visualizem e alterem credenciais armazenadas, conforme informna o estudo do Instituto Federal Suíço de Tecnologia de Zurique (ETH Zurich), publicado em 16 de fevereiro. De acordo com Matilda Backendal, pesquisadora do Grupo de Criptografia Aplicada da ETH Zurich, a promessa de sigilo feita pelos provedores não se sustenta diante de ataques que exploram a arquitetura de segurança dos sistemas. Backendal explica que, mesmo que os dados estejam criptografados, falhas no processo de interação entre o servidor e o navegador permitem o comprometimento total dos cofres digitais.
Acesso total e manipulação de cofres organizacionais
A equipe de pesquisa demonstrou 12 ataques contra o Bitwarden, sete contra o LastPass e seis contra o Dashlane, segundo a pesquisa “Zero Knowledge (About) Encryption: A Comparative Security Analysis of Three Cloud-based Password Managers”. Conforme detalha Kenneth Paterson, professor de Ciência da Computação na ETH Zurich, os pesquisadores conseguiram obter acesso completo às senhas e realizar modificações por meio de interações rotineiras, como o login na conta ou a sincronização de dados. Paterson alerta que esses serviços, por conterem volumes massivos de dados sensíveis, são alvos prioritários para hackers experientes capazes de penetrar nos servidores dos provedores.
Complexidade do código amplia superfície de ataque
A tentativa de oferecer serviços mais amigáveis ao usuário, como recuperação de senhas e compartilhamento de contas, tornou o código desses gerenciadores excessivamente complexo e confuso, de acordo com Matteo Scarlata, doutorando na ETH Zurich. Segundo Scarlata, essa complexidade expande a superfície de ataque, permitindo que programas simples se passem por servidores legítimos para enganar o cliente. O pesquisador acrescenta que muitos provedores ainda utilizam tecnologias criptográficas obsoletas da década de 90 por receio de que atualizações de sistema possam causar a perda de acesso aos dados dos clientes.
Recomendações para transparência e auditoria externa
Os provedores foram notificados sobre as falhas e tiveram um prazo de 90 dias para implementar correções antes da publicação dos resultados, afirma Paterson. Conforme orienta o professor, os usuários devem priorizar gerenciadores de senhas que sejam transparentes sobre suas vulnerabilidades e que passem por auditorias externas constantes. Segundo finaliza Paterson, o objetivo da pesquisa é provocar uma mudança na indústria para que as empresas comuniquem com precisão as garantias de segurança que realmente oferecem, em vez de fazer promessas falsas aos consumidores.






