Los servicios de gestión de contraseñas son muy utilizados por los usuarios y poco a poco han aumentado sus funcionalidades para así disfrutar de las ventajas de otros. Sin embargo, un experto en seguridad de Microsoft ha detectado un problema de seguridad en 1Password que ha permitido el robo de metadatos de algunas cuentas.
Según se ha detallado, el problema ha aparecido en una funcionalidad que utiliza el servicio de almacenamiento Dropbox para almacenar las contraseñas haciendo uso de un archivo HTML. Sin embargo, lo único que se cifra es la contraseña ya que los metadatos se almacenan sin ningún tipo de seguridad haciendo uso de texto plano. Esto quiere decir que el nombre de la cuenta y la página de inicio de sesión suministrada gracias a una URL se encuentran totalmente accesibles para cualquiera que disponga de acceso a la carpeta del servicio de almacenamiento.
Desde el servicio han tratado de aclarar este aspecto e informan que solo se han visto afectadas las cuentas más antiguas, que son las que hacen uso del sistema de cifrado 1Password’s Agile Keychain. Las nuevas con OPVault no poseen este fallo de seguridad. Sin embargo existe algo que es cuanto menos curioso, ya que estas que utilizan el nuevo sistema de cifrado no son compatibles con la funcionalidad 1PasswordAnywhere, con la que sí que lo son aquellas que hacen uso del sistema de cifrado antiguo.
Muy importante proteger los metadatos de 1Password
Este tipo de información relacionada con las cuentas resulta bastante importante y es necesario protegerla al igual que las contraseñas, ya que terceras personas podrían conocer qué sitios web visita. Pero el problema puede ser aún mayor si el usuario ha guardado la información necesaria para realizar la modificación de la contraseña de la cuenta, permitiendo que una tercera persona sea capaz de restablecerla haciendo uso de esta información y secuestrándola.
Desde el servicio han salido al paso y han comentado que el no cifrar este tipo de información se debe a motivos de rendimiento y compatibilidad con otros servicios, algo que no ha convencido del todo a expertos del sector, ya que OPVault sí que protege de forma correcta este tipo de información aunque también hay que añadir que no es compatible con la función del almacenado de las contraseñas de las cuentas en Dropbox.
Teniendo en cuenta que se trata de un sistema de cifrado antiguo es probable que al final esta función desaparezca y todas las cuentas sean migradas al nuevo que resulta mucho más seguro y eficaz a la hora de proteger la información.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
