Bugs in LastPass Browser Extensies Sta toe dat Hackers wachtwoorden kunnen grijpen
Aan het begin van de maand zagen we cyberbeveiligingsdeskundigen overal in de armen met betrekking tot de Vault 7-lekken, waar alles van hacktools door de CIA tot hun verkenning van "meme magic" werd gedumpt op WikiLeaks voor de wereld om te zien.
Er zijn amper een paar weken verstreken en maart is nog steeds een actievolle maand, omdat bugs in de browser-uitbreidingen van LastPass hackers in staat zouden stellen om wachtwoorden van nietsvermoedende gebruikers te bemachtigen.
De insecten
Een bug in LastPass 'Google Chrome-extensie werd maandag ontdekt door Tavis Ormandy, een lid van Google's Project Zero. De eerste bug - waarmee hackers in code kunnen schrijven terwijl ze de communicatie van uw computer met de server waarop u zich aanmeldt en toegang tot uw wachtwoorden - kapen, vindt u in dit rapport dat ook zijn proof-of-conceptcode bevat voor het geval u ben geïnteresseerd.
De andere bug gevonden door Ormandy was in LastPass 'Firefox-extensie versie 3.3.2 (ouder, maar nog steeds erg populair). Hiermee kunnen hackers een universeel cross-site script uitvoeren om het wachtwoord van een gebruiker via waarschuwingen te onthullen.
Op dinsdag maakte LastPass het interne servicedomein dat verantwoordelijk is voor het overdragen van verificatie-informatie onbestaande (bijv. NXDOMAIN-ing) terwijl ze het probleem onderzochten en publiceerde vervolgens een aankondiging op woensdag waarin stond dat ze de problemen in de Chrome-extensie hebben opgelost.
Wat de Firefox-extensie betreft, verlieten ze deze zoals ze zijn, aangezien de tak 3.x-versie in april toch met pensioen gaat. Voor alle duidelijkheid, dit is geen beschuldiging. Ze hebben het openlijk vermeld in hun aankondiging: " Deze bug is vorig jaar aan ons team gemeld en op dat moment opgelost. De oplossing is echter niet naar onze oude Firefox 3.3.x-branch geduwd; deze tak is gepland voor formele pensionering in april. ”
Wat je zou moeten doen
Als u de diensten van LastPass gebruikt, raad ik u ten zeerste aan ervoor te zorgen dat uw browserextensies zo actueel mogelijk zijn. Anders dan dat, is er geen onmiddellijke dreiging om gealarmeerd te worden. Over het algemeen moet je dit doen met al je extensies. Standaard zullen zowel Chrome als Firefox deze updates voor u uitvoeren, dus als u zich hebt afgemeld, is misschien nu een goed moment om dat een tweede gedachte te geven.
Er is een grotere zorg, hoewel ...
Dit zeggen zal zeker niemand punten opleveren in het huidige technologische klimaat, maar het moet gezegd worden: gemak en veiligheid zijn meestal een tweedeling. Een van onze meest enthousiaste commentatoren maakte eerder een soortgelijke verklaring toen we rapporteerden over de lekken van de kluis 7 van de CIA.
Naarmate we intiemer worden (bijvoorbeeld ons wachtwoord, onze persoonlijke informatie, enz.) Delen met de technologie die we gebruiken, geven we hackers effectief nog een manier om ons te compromitteren. Overtredingen gebeuren omdat we openlijk technologieën vertrouwen voordat we ons afvragen of ze ons kunnen beschermen tegen schade.
LastPass is een service die er alles aan doet om ervoor te zorgen dat haar gebruikers het kunnen vertrouwen met hun wachtwoorden - de sleutel tot hun online bestaan. Maar met alle respect voor hen, moeten we ons afvragen: wat als we op een dag niet geluk hebben dat een bug wordt gepatcht voordat deze wordt uitgebuit? Wat als een onverwacht probleem in de applicatiecode het voor een hacker mogelijk maakt om naar buiten te glippen en al uw informatie in de openbaarheid te zien?
Intrusies tegen LastPass zijn al eerder gebeurd, de meest recente is in 2015. Daarna besloot een meer welwillende hacker in juli 2016 een bug te onthullen die voor het publiek kon worden misbruikt.
Het idee hier is dat je nooit zelfvoldaan moet zijn. Zeker, veel van deze exploits zijn weliswaar een beetje meer gehyped dan ze zouden moeten zijn. Maar je moet je bewust zijn van het feit dat je naar een gevaarlijk gebied loopt telkens wanneer je iets persoonlijks aan een dienst geeft. Soms is het voordeel groter dan het risico, maar alleen jij kunt die beslissing nemen zodra je volledig geïnformeerd bent over waar je je voor aanmeldt.
Gebruik je een wachtwoordbeheerder? Wat vindt u van de mogelijkheid dat de service die u gebruikt een inbreuk doormaakt? Vertel ons in een reactie!