Gerenciadores de Senhas Vazam Dados em Novo Ataque de Clickjacking

Image by Volodymyr Kondriianenko, from Unsplash

Gerenciadores de Senhas Vazam Dados em Novo Ataque de Clickjacking

Tempo de leitura: 2 minuto

Última atualização: Aug 21, 2025

Um novo estudo alerta que milhões de usuários de gerenciadores de senhas podem estar vulneráveis a um perigoso exploit de navegador chamado “DOM-based Extension Clickjacking”.

Com pressa? Aqui estão os fatos rápidos:

  • Os invasores podem enganar os usuários para preencherem automaticamente os dados com um único clique falso.
  • Os dados vazados incluem cartões de crédito, credenciais de login e até códigos de autenticação em duas etapas.
  • 32,7 milhões de usuários permanecem expostos, pois alguns fornecedores não corrigiram as falhas.

A pesquisadora por trás das descobertas explicou: “Clickjacking ainda é uma ameaça à segurança, mas é necessário mudar de aplicações web para extensões de navegador, que são mais populares hoje em dia (gerenciadores de senhas, carteiras de criptomoedas e outros).”

O ataque funciona enganando os usuários a clicar em elementos falsos, incluindo banners de cookies e pop-ups de captcha, enquanto um script invisível ativa secretamente a função de preenchimento automático do gerenciador de senhas. Os pesquisadores explicam que os invasores precisavam apenas de um clique para roubar informações sensíveis.

“Um único clique em qualquer lugar de um site controlado pelo invasor poderia permitir que os invasores roubassem os dados dos usuários (detalhes do cartão de crédito, dados pessoais, credenciais de login, incluindo TOTP)”, afirma o relatório.

A pesquisadora testou 11 populares gerenciadores de senhas, incluindo 1Password, Bitwarden, Dashlane, Keeper, LastPass e iCloud Passwords. Os resultados foram alarmantes: “Todos foram vulneráveis a ‘Clickjacking baseado em DOM’. Dezenas de milhões de usuários poderiam estar em risco (~40 milhões de instalações ativas).”

Os testes revelaram que seis gerenciadores de senhas de nove expuseram detalhes de cartões de crédito, enquanto oito gerenciadores de dez vazaram informações pessoais. Além disso, dez de onze permitiram aos atacantes roubar credenciais de login armazenadas. Em alguns casos, até mesmo códigos de autenticação em dois fatores e chaves de passagem poderiam ser comprometidos.

Embora os fornecedores tenham sido alertados em abril de 2025, os pesquisadores observam que alguns deles, como Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass e LogMeOnce, ainda não corrigiram as falhas. Isso é particularmente preocupante, uma vez que está deixando cerca de 32,7 milhões de usuários expostos a esse ataque.

Os pesquisadores concluíram: “A técnica descrita é geral e eu só a testei em 11 gerenciadores de senhas. Outras extensões que manipulam o DOM provavelmente são vulneráveis (gerenciadores de senhas, carteiras de criptomoedas, notas etc.).”

Gostou desse artigo? Avalie!
Eu detestei Eu não gostei Achei razoável Muito bom! Eu adorei!

Estamos muito felizes que tenha gostado do nosso trabalho!

Como um leitor importante, você se importaria de nos avaliar no Trustpilot? É rápido e significa muito para nós. Obrigado por ser incrível!

Avalie-nos no Trustpilot
0 Votado por 0 usuários
Título
Comentar
Obrigado por seu feedback