Nova pesquisa da ETH Zurich e USI Lugano revela vulnerabilidades em gerenciadores de senhas populares, questionando suas garantias de que servidores não podem acessar cofres de usuários. O estudo analisou Bitwarden, Dashlane e LastPass, identificando maneiras pelas quais atacantes com controle de servidor poderiam roubar ou modificar dados, particularmente quando recursos como recuperação de conta ou compartilhamento estão ativados. As empresas começaram a corrigir os problemas enquanto defendem suas práticas gerais de segurança.
Gerenciadores de senhas tornaram-se essenciais para milhões, com uma estimativa de 94 milhões de adultos americanos usando-os para armazenar dados sensíveis como senhas, credenciais de criptomoedas e detalhes de pagamento. Fornecedores como Bitwarden, Dashlane e LastPass promovem um modelo de criptografia 'zero-knowledge', garantindo aos usuários que mesmo se os servidores forem comprometidos, ninguém exceto o usuário pode acessar os dados. Bitwarden afirma que 'nem mesmo a equipe da Bitwarden pode ler seus dados (mesmo se quiséssemos)'. Dashlane alega que sem a senha mestra, 'atores maliciosos não podem roubar as informações, mesmo se os servidores da Dashlane forem comprometidos'. LastPass afirma similarmente que ninguém pode acessar o cofre 'exceto você (nem mesmo a LastPass)'.</n/nNo entanto, pesquisadores da ETH Zurich e USI Lugano, em um artigo publicado em 17 de fevereiro de 2026, demonstraram que essas promessas nem sempre se sustentam. Ao fazer engenharia reversa do software, identificaram 25 vulnerabilidades que permitem a um adversário com controle de servidor — por comprometimento ou acesso interno — ler ou até modificar cofres inteiros. Os ataques exploram principalmente recursos como escrow de chaves para recuperação de conta e compartilhamento de cofres. Por exemplo, no Bitwarden, durante o registro de um novo membro em uma família ou organização, um atacante pode substituir a chave pública do grupo pela sua própria, permitindo a descriptografia da chave simétrica do usuário e acesso ao cofre. Isso pode se propagar 'como um verme' através de grupos sobrepostos se a recuperação estiver ativada.</n/nFalhas semelhantes afetam o escrow de chaves do LastPass em versões Teams, onde a substituição da chave de superadmin permite o roubo do cofre ao fazer login via extensão do navegador. O Dashlane enfrenta riscos em cofres compartilhados, onde pares de chaves não autenticados permitem que atacantes recuperem chaves simétricas compartilhadas para ler e modificar itens. A compatibilidade retroativa com versões antigas introduz fraquezas adicionais, como ataques de oráculo de padding no Bitwarden e Dashlane que poderiam descriptografar cofres ao longo do tempo. Ataques em iterações de hash também reduzem dramaticamente a dificuldade de quebra da senha mestra.</n/nOs pesquisadores notaram que esses problemas foram ignorados apesar de auditorias anteriores, pedindo mais foco em cenários de servidores maliciosos. Mencionaram que o 1Password provavelmente compartilha falhas semelhantes, mas o analisaram menos profundamente. As empresas responderam corrigindo muitas vulnerabilidades após notificações privadas. O Bitwarden enfatizou que o modelo de ameaça assume 'comprometimento total do servidor e comportamento adversarial além das suposições operacionais padrão'. O LastPass destacou sua segurança multicamadas, incluindo testes de penetração anuais e programas de bug bounty. O Dashlane afirmou testes rigorosos e mitigação rápida. O 1Password disse que o artigo não revelou vetores novos além de seus riscos documentados e continua avaliando contra ameaças avançadas.</n/nO estudo ressalta que, embora violações de servidores sejam raras, elas permanecem um risco crível, especialmente de atores estatais, dados incidentes passados como as violações do LastPass em 2015, 2021 e 2022.