Pesquisador de segurança da recomendações contra gerenciador de senhas
Um pesquisador de segurança está recomendando contra o gerenciador de senhas LastPass depois de detalhar sete rastreadores encontrados no aplicativo Android, relata The Register . Embora não haja nenhuma sugestão de que os rastreadores, que foram analisados pelo pesquisador Mike Kuketz , estejam transferindo as senhas ou nomes de usuário reais de um usuário, Kuketz diz que a presença deles é uma prática ruim para um aplicativo crítico de segurança que lida com essas informações confidenciais.
Respondendo ao relatório, um porta-voz do LastPass disse que a empresa reúne dados limitados “sobre como o LastPass é usado” para ajudá-la a “melhorar e otimizar o produto”. É importante ressaltar que o LastPass diz ao The Register que “nenhum dado de usuário sensível e pessoalmente identificável ou atividade de cofre pode passar por esses rastreadores. Eles acrescentaram que os usuários podem cancelar a análise. Na interface da web do LastPass, a opção está localizada nas configurações de privacidade do LastPass, acessíveis por meio de “Configurações da conta> Mostrar configurações avançadas> Privacidade”, disse o porta-voz.
Os rastreadores do LastPass incluem quatro do Google que lidam com análises e relatórios de falhas, bem como um de uma empresa chamada Segment, que supostamente reúne dados para equipes de marketing. Kuketz analisou os dados sendo transmitidos e descobriu que incluíam informações sobre a marca e o modelo do smartphone, bem como informações sobre se um usuário ativou a segurança biométrica. Mesmo que os dados transmitidos não sejam pessoalmente identificáveis, apenas integrar este código de terceiros em primeiro lugar apresenta o potencial para vulnerabilidades de segurança, de acordo com Kuketz.
“Se você realmente usa o LastPass, recomendo alterar o gerenciador de senhas”, escreveu Kuketz (por meio de tradução automática). “Existem soluções que não enviam dados permanentemente a terceiros e não registram o comportamento do usuário.”
LastPass não é o único gerenciador de senhas a incluir rastreadores como este, mas parece ter mais do que muitos concorrentes populares. Alternativa gratuita Bitwarden tem apenas dois de acordo com Exodus Privacy , enquanto RoboForm e Dashlane têm quatro, e 1Password não tem nenhum.
O relatório vem logo após o anúncio do LastPass de limitar severamente a funcionalidade em seu nível gratuito . Embora os usuários gratuitos possam atualmente armazenar um número ilimitado de senhas em dispositivos sem limitação, em breve eles terão que escolher uma categoria de dispositivos para visualizar e gerenciar suas senhas - “Celular” ou “Computador” - a menos que queiram pagar para o serviço. As alterações entrarão em vigor no dia 16 de março.