Luka w zabezpieczeniach rozszerzenia przeglądarki Lastpass ujawniła: jak zachować bezpieczeństwo

Jeden z najpopularniejszych menedżerów haseł LastPass boryka się z poważnymi problemami z rozszerzeniami przeglądarki, ponieważ w ubiegłym tygodniu ujawniono wiele luk w usłudze i nadal występują.

Technologia stale się rozwija i chociaż ma na celu poprawę naszego stylu życia, czasami może być nawet szkodliwa w przypadku wykorzystania niektórych błędów, zwłaszcza gdy dotyczy usługi takiej jak LastPass, która jest odpowiedzialna za ochronę dziesiątek milionów haseł.

W ubiegłym tygodniu, 20 marca, Tavis Ormandy, badacz z Google Project Zero, odkrył dwa błędy w rozszerzeniach przeglądarki LastPass, które narażają użytkowników na zdalne wykonanie kodu.

Ujawnione luki dotknęły zarówno biznesowych, jak i osobistych użytkowników usługi.

Luki w zabezpieczeniach ujawnione w ciągu ostatniego tygodnia?

20 marca: Tavis Ormandy znajduje dwie luki w zabezpieczeniach Remote Code Execution (RCE), które miały wpływ na rozszerzenia przeglądarki LastPass - potencjalnie umożliwiając intruzowi kradzież haseł.

Ups, nowy błąd LastPass, który wpływa na 4.1.42 (Chrome i FF). RCE, jeśli używasz „składnika binarnego”, w przeciwnym razie możesz ukraść pwds. Pełny raport w drodze. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) 20 marca 2017 r

21 marca: LastPass potwierdza raport Ormandy i potwierdza, że ​​luki istnieją, a ich zespół będzie pracował nad ich usunięciem.

Jesteśmy świadomi raportu @taviso, a nasz zespół wprowadził obejście, pracując nad rozwiązaniem. Sprawdzaj aktualizacje.

- LastPass (@LastPass) 21 marca 2017 r

22 marca: Firma ogłasza, że ​​wydała nowe wersje przeglądarek Chrome (wersja 4.1.43) i Firefox (wersja 4.1.36) z wprowadzonymi aktualizacjami zabezpieczeń.

Wspomnieli również, że w tym okresie nie zostały naruszone żadne dane, a użytkownicy nie muszą się martwić o zmianę swoich danych uwierzytelniających. Zaktualizowane wersje rozszerzeń przeglądarki Microsoft Edge i Opera zostaną wydane do czasu zatwierdzenia przez firmę.

25 marca: Tavis Ormandy odkrywa kolejną lukę, na którą napotyka zaktualizowana wersja rozszerzenia przeglądarki Google Chrome (wersja 4.1.43). LastPass potwierdza tę lukę w aktualizacji swojego ogłoszenia z 22 marca.

Ach, ha, rano miałem objawienie pod prysznicem i zrozumiałem, jak zdobyć codeexec w LastPass 4.1.43. Pełny raport i wykorzystanie po drodze. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) 25 marca 2017 r

27 marca: LastPass wydało oświadczenie: „Nie usuwamy aktywnie tej luki. Ten atak jest wyjątkowy i bardzo wyrafinowany. Nie chcemy ujawniać niczego konkretnego na temat luki w zabezpieczeniach ani naszej poprawki, która mogłaby ujawnić coś mniej wyrafinowanym, ale nikczemnym stronom. ”

Jak zachować bezpieczeństwo?

Obecnie LastPass potwierdził, że pracuje nad rozwiązaniem problemów związanych z bezpieczeństwem swoich usług i wkrótce można spodziewać się pełnej naprawy. W międzyczasie użytkownicy LastPass powinni przestrzegać następujących środków ostrożności.

• Aby zabezpieczyć swoje dane logowania, zaleca się, aby w międzyczasie wyłączyć rozszerzenia przeglądarki i uruchamiać strony internetowe bezpośrednio z LastPass Vault, dopóki luki nie zostaną usunięte przez firmę.
• Włącz uwierzytelnianie dwuskładnikowe dla wszystkich kont, które oferują tę opcję, dając Twojemu koncie dodatkową warstwę bezpieczeństwa na wypadek, gdyby osoba atakująca wykorzystała tę lukę.
• Uważaj na ataki phishingowe. Nie klikaj linków z niezaufanych źródeł - osób, których nie znasz

Szukasz alternatywy dla LastPass? Sprawdź 3 najlepsze alternatywy tutaj.