Falha crítica em 11 gerenciadores de senhas ameaça 40 milhões de usuários

Uma falha crítica de segurança acaba de ser descoberta em 11 dos gerenciadores de senhas mais populares do mercado, colocando em risco aproximadamente 40 milhões de usuários em todo o mundo. A vulnerabilidade, identificada por pesquisadores do The Hacker News, afeta extensões de navegador baseadas em DOM (Document Object Model) e permite que cibercriminosos roubem credenciais armazenadas através de um ataque conhecido como clickjacking.

Entre os serviços comprometidos estão nomes bem conhecidos como 1Password, Bitwarden, LastPass, NordPass e Dashlane. A maioria das empresas afetadas ainda não implementou correções para esta vulnerabilidade, o que mantém seus usuários expostos a possíveis ataques neste momento.

O mais preocupante é que estes gerenciadores de senhas são justamente as ferramentas recomendadas por especialistas para manter dados de login protegidos. Agora, ironicamente, transformaram-se em potenciais portas de entrada para invasores. Além de senhas, os atacantes podem capturar informações de cartões de crédito, endereços, números de telefone e outros dados pessoais armazenados nessas plataformas.

A lista completa dos gerenciadores comprometidos inclui:

• 1Password
• Bitwarden
• Dashlane
• Enpass
• iCloud Passwords
• Keeper
• LastPass
• LogMeOnce
• NordPass
• ProtonPass
• RoboForm.

Muitos destes serviços são amplamente utilizados no Brasil, o que torna o alerta ainda mais relevante para usuários brasileiros.

Interfaces de login como esta podem ser manipuladas por atacantes usando técnicas de clickjacking para roubar suas credenciais armazenadas em gerenciadores de senhas.

Como funciona o ataque de clickjacking

A técnica de clickjacking explora uma falha no modelo DOM, utilizado por diversas extensões de navegador. Os atacantes criam sites falsos que imitam páginas legítimas, mas contêm elementos invisíveis estrategicamente posicionados. Quando um usuário navega nestes sites maliciosos, um simples clique pode ativar automaticamente o gerenciador de senhas da vítima.

Ao ser ativado, o gerenciador tenta preencher automaticamente as credenciais salvas, momento em que os invasores capturam esses dados. O mais perigoso é que tudo acontece sem qualquer sinal visível de ataque – o usuário geralmente apenas fecha a página após perceber que algo não está funcionando corretamente, sem suspeitar que seus dados foram comprometidos.

Segundo os pesquisadores, a vulnerabilidade foi reportada aos desenvolvedores em abril de 2025, mas aproximadamente metade das empresas ainda não respondeu ao alerta adequadamente. Entre os poucos que já tomaram providências, a Bitwarden lançou uma nova versão de seu plugin que corrige o problema.

Vale ressaltar que esta falha afeta exclusivamente as extensões de navegador desses serviços, não comprometendo necessariamente os aplicativos desktop ou mobile dos mesmos gerenciadores. No entanto, como a maioria dos usuários utiliza justamente as extensões para facilitar o preenchimento automático de senhas, o impacto potencial permanece significativo.

Como se proteger dessa vulnerabilidade

Embora não exista uma solução definitiva que proteja contra todos os tipos de clickjacking, os usuários podem adotar algumas medidas preventivas importantes. A primeira e mais básica é evitar clicar em links suspeitos ou desconhecidos, mesmo que pareçam levar a sites legítimos. Sempre que possível, digite manualmente o endereço do site no navegador ou use seus próprios favoritos salvos.

Para quem utiliza navegadores baseados em Chromium (como Chrome, Edge, Opera e Brave) e depende de gerenciadores de senhas, é recomendável alterar as configurações de preenchimento automático para o modo “ao clicar”. Esta alteração evita que suas credenciais sejam inseridas automaticamente sem sua confirmação explícita.

Outra medida eficaz é desativar completamente o preenchimento automático de e-mails e outros dados nas configurações do navegador, na seção “Preenchimento automático e senhas”. Esta é uma opção mais radical, mas que oferece proteção adicional enquanto os desenvolvedores não corrigem definitivamente a vulnerabilidade.

Por fim, considere verificar se o gerenciador de senhas que você utiliza está na lista dos afetados e, em caso positivo, busque atualizações recentes que possam ter corrigido o problema ou considere temporariamente alternar para uma solução alternativa enquanto aguarda por correções.

Fonte: PCWorld