באגים הרחבות דפדפן LastPass לאפשר האקרים לתפוס סיסמאות
בתחילת החודש ראינו מומחי cybersecurity בכל מקום על הנשק סביב 7 דליפות כאשר הכל כלי פריצה על ידי CIA לחקירתם של "מם קסם" הושלך על WikiLeaks עבור העולם לראות.
בקושי כמה שבועות חלפו, ומארץ 'ממשיך להיות חודש מלא פעולה, כמו באגים בהרחבות הדפדפן של LastPass יאפשרו להאקרים לתפוס סיסמאות ממשתמשים לא תמימים.
הבאגים
באג בתוסף Google Chrome של LastPass התגלה על ידי Tavis Ormandy, חבר בפרויקט Zero של Google, ביום שני. הבאג הראשון - המאפשר להאקרים לכתוב קוד בזמן חטיפת התקשורת של המחשב עם השרת שאתה מתחבר אליו ולקבל גישה אל הסיסמאות שלך - ניתן למצוא בדו"ח זה המכיל גם את קוד הוכחת הקונספט שלו, מעניין מחדש.
הבאג השני נמצא על ידי Ormandy היה LastPass 'Firefox הרחבה גירסה 3.3.2 (מבוגר, אבל עדיין מאוד פופולרי). זה מאפשר האקרים לבצע סקריפט אוניברסלי בין אתרים לחשוף את הסיסמה של המשתמש באמצעות התראות.
ביום שלישי האחרון עשתה LastPass את תחום השירות הפנימי האחראי להעברת מידע האימות, שאינו קיים (לדוגמה, NXDOMAIN-ing), כאשר הם חקרו את הבעיה, ולאחר מכן פרסמו הודעה ביום רביעי שבו הם קובעים את הבעיות בתוסף Chrome.
מבחינת תוסף פיירפוקס, הם עזבו אותו שכן מאז סניף גרסה 3.x יהיה פרש בחודש אפריל בכל מקרה. כדי להיות ברור, זה לא האשמה. הם אמרו זאת בגלוי בהודעתם: " הבאג דווח על הצוות שלנו בשנה שעברה ותוקן באותו זמן. עם זאת, התיקון לא נדחף אל סניף Firefox 3.3.x מדור קודם שלנו; סניף זה נקבע לפרישה פורמלית בחודש אפריל. "
מה אתה צריך לעשות
אם אתה משתמש בשירותי LastPass, מומלץ מאוד לוודא שתוספי הדפדפן שלך מעודכנים ככל האפשר. חוץ מזה, אין איום מיידי כדי להיבהל. באופן כללי, עליך לעשות זאת עם כל התוספים שלך. כברירת מחדל, Chrome ו- Firefox יבצעו עדכונים אלה עבורך, לכן אם ביטלת את הסכמתך, ייתכן שכעת זהו זמן טוב לתת את המחשבה השנייה.
יש דאגה גדולה יותר, למרות ...
להגיד את זה בהחלט לא לנצח נקודות מישהו באקלים של היום טק הטכנולוגיה, אבל זה חייב להיות אמר: נוחות וביטחון הם בדרך כלל דיכוטומיה. אחד המגיבים הנלהבים ביותר שלנו אמר הצהרה קודמת כאשר דיווחנו על 7 דליפות של ה- CIA דליפות.
ככל שאנו מקבלים יותר אינטימי (למשל שיתוף הסיסמאות שלנו, המידע האישי שלנו, וכו ') עם הטכנולוגיה שאנו משתמשים, אנחנו למעשה נותנים האקרים דרך נוספת כדי להתפשר עלינו. הפרות לקרות כי אנחנו בטוחים אמון בטכנולוגיות לפני שאנחנו אפילו לשאול את עצמנו אם הם יכולים להגן עלינו מפני נזק.
LastPass הוא שירות שעושה כל מה שהוא יכול כדי לוודא שהמשתמשים שלו יכולים לבטוח בו עם הסיסמאות שלהם - את המפתחות עצמם לקיומם המקוון. אבל עם כל הכבוד להם, אנחנו צריכים לשאול את עצמנו: מה אם יום אחד לא יהיה לנו מספיק מזל כדי לתקן את הבאג לפני שהוא מנוצל? מה אם בעיה בלתי צפויה בקוד היישום מאפשרת להאקר להחליק פנימה ולראות את כל המידע שלך בחוץ פתוח?
פריצות ל- LastPass התרחשו בעבר, והפעם האחרונה שבהן הייתה ב 2015. לאחר מכן, בחודש יולי 2016, החליט האקר טוב יותר לחשוף באג שיכול להיות מנוצל לציבור.
הרעיון כאן הוא שאתה לא צריך להיות שאננים. בטח, הרבה מנצל אלה הם אמנם קצת hyped יותר ממה שהם צריכים להיות. אבל אתה צריך להיות מודעים לעובדה שאתה נכנס לשטח מסוכן בכל פעם שאתה נותן משהו אישי לשירות. לפעמים היתרון עולה על הסיכון, אבל רק אתה יכול לעשות את זה נחישות ברגע שאתה יודע באופן מלא על מה אתה נרשם.
האם אתה משתמש במנהל סיסמאות? איך אתה מרגיש לגבי האפשרות של השירות אתה משתמש חווה הפרה? ספר לנו הערה!