Feil i LastPass Browser Extensions Tillat hackere å ta tak i passord
I begynnelsen av måneden så vi cybersikkerhetseksperter overalt på våpen om Vault 7 lekkasjer hvor alt fra hackingsverktøy fra CIA til deres utforskning av "meme magic" ble dumpet på WikiLeaks for verden å se.
Bare noen få uker har gått, og mars fortsetter å være en actionfylt måned som feil i LastPass 'nettleserutvidelser vil tillate hackere å ta tak i passord fra intetanende brukere.
Bugs
En feil i LastPass 'Google Chrome-utvidelse ble oppdaget av Tavis Ormandy, et medlem av Googles prosjektnull, på mandag. Den første feilen - som tillater hackere å skrive inn kode mens hijacking datamaskinens kommunikasjon med serveren du logger på og får tilgang til passordene dine - finnes i denne rapporten som også inneholder sin proof of concept-kode i tilfelle du ' være interessert.
Den andre feilen som ble funnet av Ormandy var i LastPass 'Firefox-utvidelsesversjon 3.3.2 (eldre, men fortsatt veldig populær). Det tillater hackere å utføre et universelt cross-site script for å avdekke brukerens passord gjennom varsler.
På tirsdag sendte LastPass det interne tjenestedomenet som var ansvarlig for overføring av godkjenningsinformasjon, som ikke eksisterte (f.eks. NXDOMAIN-ing) mens de undersøkte problemet, og sendte en melding på onsdag som sa at de løste problemene i Chrome-utvidelsen.
Så langt som Firefox-utvidelsen var bekymret, forlot de det som det er siden 3.x-versjonen vil bli pensjonert i april uansett. For å være klar, er dette ikke en beskyldning. De har sagt det åpent i sin kunngjøring: " Denne feilen ble rapportert til vårt team i fjor og fast på den tiden. Fiksingen ble imidlertid ikke presset ned til vår eldre Firefox 3.3.x-fil; Denne grenen har vært planlagt for formell pensjonering i april. ”
Hva du bør gjøre
Hvis du bruker LastPass-tjenester, foreslår jeg sterkt at du ser på nettleserutvidelsene så oppdatert som mulig. Annet enn det, er det ingen umiddelbar trussel om å være bekymret for. Generelt bør du gjøre dette med alle dine utvidelser. Som standard vil både Chrome og Firefox utføre disse oppdateringene for deg, så hvis du har slått av, er det kanskje bra å gi det en ny tanke.
Det er en større bekymring, selv om ...
Å si dette vil absolutt ikke vinne noen poeng i dagens teknologiske industri klima, men det må sies: bekvemmelighet og sikkerhet er vanligvis en dikotomi. En av våre mest ivrige kommentarer gjorde en lignende uttalelse tidligere da vi rapporterte om CIAs Vault 7 lekkasjer.
Når vi blir mer intime (for eksempel å dele passordene våre, vår personlige informasjon, etc.) med teknologien vi bruker, gir vi effektivt hackere en måte å kompromittere oss på. Brudd skjer fordi vi åpent stoler på teknologier før vi selv spørre oss selv om de er i stand til å beskytte oss mot skade.
LastPass er en tjeneste som gjør alt for å sikre at brukerne kan stole på det med passordene sine - selve nøkkene til deres online-eksistens. Men med all respekt for dem, må vi spørre oss selv: hva om en dag vi ikke er heldige nok til at en feil blir lurt før den blir utnyttet? Hva om et uventet problem i programkoden tillater en hacker å gå inn og se all informasjon ut i det åpne?
Intrusjoner til LastPass har skjedd før, den siste er i 2015. Etter det, i juli 2016 bestemte en mer velvillig hacker seg for å avsløre en feil som kunne utnyttes til offentligheten.
Ideen her er at du aldri skal være selvtilfreds. Visst, mange av disse utnyttelsene er ganske vist litt mer hyped enn de burde være. Men du bør være klar over det faktum at du går inn i farlig territorium hver gang du gir noe personlig til en tjeneste. Noen ganger fordeler oppveien risikoen, men bare du kan bestemme det når du er fullt informert om hva du registrerer deg for.
Bruker du en passordbehandling? Hvordan føler du om muligheten for at tjenesten du bruker, opplever brudd? Fortell oss i en kommentar!