Segurança e Privacidade

Gerenciadores de senha: falha expôs dados de milhões de usuários

Número de vítimas afetas por vazamentos de dados subiu mais de 1.000% em 2024 (Imagem: Song_about_summer/Shutterstock)

Os gerenciadores de senha são comumente utilizados no celular e servem para guardar todas as chaves de acesso do usuário com um conjunto de criptografia. Dessa forma, você não precisa lembrar de cada acesso de login sempre que acessar um site diferente.

No entanto, nem sempre estes aplicativos tão práticos são seguros. O investigador de segurança independente Marek Tóth revelou falhas graves que permitiram o acesso de informações confidenciais por terceiros.

Vulnerabilidade nos gerenciadores de senha foi identificada (Imagem: Dan Nelson/Unsplash)

Até 40 milhões de pessoas podem ter ficado vulneráveis aos ataques

  • Os problemas foram identificados em gerenciadores de senha populares, caso do Dashlane, Nordpass e 1Password.
  • Segundo o portal, os invasores usaram clickjacking para acessar as informações.
  • Este método incentiva o usuário a clicar em elementos indesejados na tela sem saber, fornecendo dados cruciais para a ação dos golpistas.
  • Neste caso específico, a vulnerabilidade está nas extensões de navegador dos aplicativos que permitem a criação de elementos invisíveis na tela.
  • Ao sobrepor o HTML visível, a vítima pensa estar navegando normalmente, mas acaba cedendo dados como número dos cartões de crédito, códigos de autenticação de dois fatores (2FA) e credenciais de acesso.

Leia mais

Golpistas usaram clickjacking para acessar as informações (Imagem: Badass artists/Shutterstock)

Nem todos os aplicativos levaram o alerta a sério

O alerta aponta que o ataque consegue identificar qual gerenciador de senha é utilizado e se adaptar para o roubo. A ação pode ser efetiva mesmo que o usuário perceba que há algo errado e troque de aplicativo rapidamente.

As descobertas foram validadas pela empresa de cibersegurança Socket. Mesmo sendo avisadas em abril deste ano, algumas companhias não adotaram mudanças importantes para evitar a ação dos cibercriminosos. O Marek Tóth diz que os aplicativos 1Password e LastPass se limitaram a dizer que o clickjacking é um risco geral da internet. A LogMeOnce, por sua vez, não se pronunciou.

Criminosos podem aproveitar falha para roubar dados (Imagem: Gorodenkoff/Shutterstock)

Já a Bitwarden minimizou a gravidade do caso, mas voltou atrás e informou que corrigiu os problemas. Dashlane, NordPass, ProtonPass, Keeper e RoboForm também atualizaram as extensões para corrigir as vulnerabilidades detectadas.

A principal recomendação para evitar ser alvo deste tipo de ataque é desativar a função de preenchimento manual. O ideal é copiar e colar a senha sem o uso do aplicativo. Também é sugerido sempre usar a extensão mais atual dos gerenciadores.

Esta post foi modificado pela última vez em 22 de agosto de 2025 09:33

Compartilhar
Publicado por
Alessandro Di Lorenzo
Tags: falhagerenciador de senhas
22 de agosto de 2025 09:33