Olhar Digital > Segurança e Privacidade > Gerenciadores de senha: falha expôs dados de milhões de usuários

Gerenciadores de senha: falha expôs dados de milhões de usuários

Investigador de segurança independente emitiu alerta sobre vulnerabilidade que pode ter sido aproveitada por cibercriminosos
Alessandro Di Lorenzo22/08/2025 09h33
Pessoa quase tocando em ilustração de cadeado vermelho entre linhas de código de programação
Número de vítimas afetas por vazamentos de dados subiu mais de 1.000% em 2024 (Imagem: Song_about_summer/Shutterstock)
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Os gerenciadores de senha são comumente utilizados no celular e servem para guardar todas as chaves de acesso do usuário com um conjunto de criptografia. Dessa forma, você não precisa lembrar de cada acesso de login sempre que acessar um site diferente.

No entanto, nem sempre estes aplicativos tão práticos são seguros. O investigador de segurança independente Marek Tóth revelou falhas graves que permitiram o acesso de informações confidenciais por terceiros.

gerenciador de senha
Vulnerabilidade nos gerenciadores de senha foi identificada (Imagem: Dan Nelson/Unsplash)

Até 40 milhões de pessoas podem ter ficado vulneráveis aos ataques

  • Os problemas foram identificados em gerenciadores de senha populares, caso do Dashlane, Nordpass e 1Password.
  • Segundo o portal, os invasores usaram clickjacking para acessar as informações.
  • Este método incentiva o usuário a clicar em elementos indesejados na tela sem saber, fornecendo dados cruciais para a ação dos golpistas.
  • Neste caso específico, a vulnerabilidade está nas extensões de navegador dos aplicativos que permitem a criação de elementos invisíveis na tela.
  • Ao sobrepor o HTML visível, a vítima pensa estar navegando normalmente, mas acaba cedendo dados como número dos cartões de crédito, códigos de autenticação de dois fatores (2FA) e credenciais de acesso.

Leia mais

Hacker.
Golpistas usaram clickjacking para acessar as informações (Imagem: Badass artists/Shutterstock)

Nem todos os aplicativos levaram o alerta a sério

O alerta aponta que o ataque consegue identificar qual gerenciador de senha é utilizado e se adaptar para o roubo. A ação pode ser efetiva mesmo que o usuário perceba que há algo errado e troque de aplicativo rapidamente.

As descobertas foram validadas pela empresa de cibersegurança Socket. Mesmo sendo avisadas em abril deste ano, algumas companhias não adotaram mudanças importantes para evitar a ação dos cibercriminosos. O Marek Tóth diz que os aplicativos 1Password e LastPass se limitaram a dizer que o clickjacking é um risco geral da internet. A LogMeOnce, por sua vez, não se pronunciou.

Criminosos podem aproveitar falha para roubar dados (Imagem: Gorodenkoff/Shutterstock)

Já a Bitwarden minimizou a gravidade do caso, mas voltou atrás e informou que corrigiu os problemas. Dashlane, NordPass, ProtonPass, Keeper e RoboForm também atualizaram as extensões para corrigir as vulnerabilidades detectadas.

A principal recomendação para evitar ser alvo deste tipo de ataque é desativar a função de preenchimento manual. O ideal é copiar e colar a senha sem o uso do aplicativo. Também é sugerido sempre usar a extensão mais atual dos gerenciadores.

Alessandro Di Lorenzo
Colaboração para o Olhar Digital

Alessandro Di Lorenzo é formado em Jornalismo pela Universidade Federal do Rio Grande do Sul (UFRGS) e atua na área desde 2014. Trabalhou nas redações da BandNews FM em Porto Alegre e em São Paulo.

Ícone tagsTags: