LastPass es uno de los gestores de contraseñas más populares, pero recientemente ha sido noticia por otros motivos: el hallazgo de no uno, sino dos agujeros de seguridad en LastPass relacionados con el uso de su extensión de navegador (tanto en Chrome como en Firefox), aunque por suerte, ambos han sido ya resueltos.

El primer bug fue encontrado y comunicado al equipo de seguridad de LastPass hace ya un año (y resuelto en menos de 24 horas, sin necesidad de ninguna acción por parte de los usuarios), mientras que el segundo se encontró ayer y también se ha resuelto mediante una actualización de la extensión afectada.

El primer problema de seguridad, como decíamos, se encontró hace aproximadamente un año. El aviso al equipo de LastPass vino de parte de Matthias Karlsson, un analista de seguridad que publicó recientemente la historia. Según explica Karlsson, el error se encontraba en el código de análisis (parse) de la URL que LastPass añade mediante la extensión de navegador.

Este error permitía engañar al sistema, haciéndole creer que estaba en otra web y extrayendo los datos de acceso a ésta. Así, por ejemplo, uno podía visitar una web cualquiera, y hacer uso de este fallo de seguridad para obtener la contraseña de Twitter, Facebook y otros servicios online.

Karlsson comenta que informó del error a LastPass, y éstos "trataron el problema de forma muy profesional". El agujero de seguridad se solucionó en menos de un día, y Karlsson recibió una compensación de 1.000 dólares como …