Bitwarden

Recentemente, o Bitwarden confirmou que seu pacote CLI no npm foi comprometido por um ataque que resultou na distribuição de uma versão maliciosa (2026.4.0) entre 22 de abril de 2026, das 17h57 às 19h30 ET. O ataque, que utilizou um GitHub Action comprometido, injetou um código malicioso que coletava credenciais sensíveis, como tokens do npm e chaves SSH, de sistemas infectados. O malware, que se autopropraga, armazenava dados coletados em repositórios públicos no GitHub da vítima, utilizando uma string de referência a ataques anteriores. O Bitwarden assegurou que não houve acesso aos dados dos usuários finais e que as medidas corretivas foram tomadas imediatamente após a detecção do problema. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante em ambientes de desenvolvimento, especialmente em CI/CD, onde as credenciais podem ser reutilizadas para expandir ataques. Desenvolvedores que instalaram a versão afetada devem considerar suas credenciais como comprometidas e realizar a rotação imediata das mesmas.

A Bitwarden anunciou uma nova funcionalidade que permite o login em dispositivos com Windows 11 utilizando passkeys armazenadas em seu cofre, oferecendo uma autenticação resistente a phishing. Essa nova opção está disponível para todos os planos, incluindo o gratuito, e funciona ao selecionar a opção de chave de segurança e escanear um código QR com um dispositivo móvel para confirmar o acesso à passkey. Para utilizar essa funcionalidade, é necessário que os dispositivos estejam conectados ao Entra ID, que a autenticação via chave de segurança FIDO2 esteja habilitada e que a passkey esteja registrada no cofre da Bitwarden. A Bitwarden atua como provedora de passkeys no fluxo de autenticação do Windows, permitindo que as credenciais sejam armazenadas em um cofre sincronizado, ao invés de estarem vinculadas a um único dispositivo. Essa abordagem reduz significativamente o risco de exposição de credenciais a ataques de phishing, uma vez que elimina a necessidade de inserir senhas durante o processo de login. A Microsoft planeja implementar essa funcionalidade ainda este mês, dependendo da configuração do Entra ID. Essa inovação representa um avanço significativo na segurança de autenticação em sistemas operacionais.

Uma pesquisa realizada pelas Universidades de Zurique e da Svizzera Italiana revelou falhas críticas em gerenciadores de senha populares, como Bitwarden, LastPass e Dashlane. O estudo, liderado por Kenneth Paterson, demonstrou que 27 ataques bem-sucedidos foram realizados, comprometendo a segurança dos dados dos usuários. Embora esses serviços utilizem a Encriptação Zero-Knowledge, que promete que nem mesmo as empresas podem acessar os dados dos usuários, os resultados mostraram que essa proteção é falha. Os pesquisadores identificaram vulnerabilidades que permitem que hackers manipulem dados armazenados, como logins, para obter senhas desencriptadas. Além disso, métodos de segurança obsoletos ainda ativos em alguns aplicativos aumentam o risco de ataques. O 1Password se destacou como o mais seguro, utilizando uma tecnologia de Chave Secreta que mantém os dados no dispositivo do usuário. As empresas afetadas já começaram a lançar atualizações para corrigir as falhas, mas os usuários são aconselhados a atualizar seus aplicativos imediatamente para garantir a segurança de suas informações.

Pesquisadores da ETH Zurich e da USI University identificaram vulnerabilidades em quatro gerenciadores de senhas populares: Bitwarden, LastPass, Dashlane e 1Password. Essas falhas, que afetam cerca de 40 milhões de usuários, permitem que hackers acessem e alterem senhas de forma não autorizada. A análise envolveu 27 cenários de ataques, revelando problemas de segurança que vão desde violações de integridade até o comprometimento total dos cofres dos usuários. Os especialistas destacaram que a criptografia utilizada por esses serviços apresenta falhas, como chaves públicas não autenticadas e uma separação inadequada das chaves guardadas, criando uma falsa sensação de segurança entre os usuários. Os provedores foram notificados sobre as vulnerabilidades e recomendações foram feitas para melhorar a segurança, incluindo a combinação de métodos de autenticação e criptografia. A situação é alarmante, pois muitos usuários confiam nesses gerenciadores para proteger suas credenciais mais sensíveis.

A Bitwarden, conhecida por seu gerenciador de senhas de código aberto, lançou uma nova funcionalidade chamada ‘Cupid Vault’. Essa ferramenta permite que usuários da versão gratuita compartilhem senhas de forma segura com endereços de e-mail confiáveis. O Cupid Vault possibilita a criação de um cofre compartilhado entre duas pessoas, denominado ‘Organização’, onde os logins podem ser acessados por um segundo membro convidado pelo proprietário da conta. Para garantir a segurança, os proprietários podem verificar a identidade do membro convidado por meio de uma frase de verificação. O cofre compartilhado é isolado do cofre pessoal do usuário, e o acesso pode ser revogado a qualquer momento. Embora a funcionalidade seja gratuita, existem limitações, como o número de coleções e usuários permitidos. Para usuários dos planos pagos, como Família, Equipes e Empresas, já existem recursos de compartilhamento mais robustos, tornando o Cupid Vault uma opção redundante para esses grupos. A Bitwarden também disponibilizou um guia detalhado sobre como configurar e utilizar essa nova funcionalidade, que foi lançada em um momento estratégico próximo ao Dia dos Namorados.

Recentemente, usuários de gerenciadores de senhas, como LastPass e Bitwarden, estão sendo alvo de uma nova campanha de phishing. Os golpistas enviam e-mails fraudulentos que se passam por atualizações de segurança dos aplicativos, mas na verdade, contêm um software malicioso que permite o acesso remoto aos dados da vítima. Embora as empresas tenham confirmado que não sofreram invasões, a engenharia social utilizada pelos hackers tem se tornado cada vez mais sofisticada, tornando as mensagens mais convincentes. Além disso, a Cloudflare, uma empresa de segurança cibernética, bloqueou alguns links maliciosos, ajudando a proteger os usuários. Para evitar cair nesse tipo de golpe, recomenda-se não abrir links de e-mails suspeitos e sempre verificar diretamente no site oficial do serviço. A desconfiança é fundamental para se proteger contra essas ameaças.