В начале месяца мы видели, как эксперты по кибербезопасности повсюду возмутились утечками из Убежища 7, где все от хакерские инструменты ЦРУ до их исследование «магии мемов» было сброшено на WikiLeaks, чтобы весь мир мог их узнать. см.
Прошло всего несколько недель, а март по-прежнему остается насыщенным событиями месяцем, поскольку ошибки в расширениях браузера LastPass позволяют хакерам перехватывать пароли у ничего не подозревающих пользователей.
Ошибки
Ошибку в расширении LastPass для Google Chrome обнаружил в понедельник Тэвис Орманди, участник Google Project Zero. Первую ошибку, которая позволяет хакерам писать код, перехватывая связь вашего компьютера с сервером, на который вы заходите, и получать доступ к вашим паролям, можно найти в этот отчет , где также содержится его доказательство концептуальный код, если вам интересно.
Еще одна ошибка, найденная Орманди. был в расширении LastPass для Firefox версии 3.3.2 (более старой, но все еще очень популярной). Он позволяет хакерам выполнить универсальный межсайтовый скрипт для раскрытия пароля пользователя с помощью оповещений.
Во вторник LastPass сделал вид, будто внутренний домен службы, ответственный за передачу информации аутентификации, несуществующим (например, NXDOMAIN), пока они исследовали проблему, а затем опубликовал объявлениев среду, в котором говорилось, что они исправили проблему. проблемы в расширении Chrome.
Что касается расширения Firefox, то они оставили его как есть, поскольку ветка версии 3.x в любом случае будет закрыта в апреле. Чтобы внести ясность, это не обвинение. Они открыто заявили об этом в своем объявлении: «Об этой ошибке было сообщено нашей команде в прошлом году, и тогда же она была исправлена. Однако исправление не было перенесено в нашу устаревшую ветку Firefox 3.3.x; официальное прекращение деятельности этого филиала запланировано на апрель.”
Что делать
Если вы пользуетесь услугами LastPass, я настоятельно рекомендую убедиться, что расширения вашего браузера обновлены настолько, насколько это возможно. В остальном непосредственной угрозы, о которой стоит беспокоиться, нет. В общем, вам следует сделать это со всеми вашими расширениями. По умолчанию и Chrome, и Firefox будут выполнять эти обновления за вас, поэтому, если вы отказались от этого, возможно, сейчас самое время подумать об этом.
Однако есть и более серьезные проблемы…
Сказать это, конечно, не принесет никому очков в сегодняшнем климате технологической индустрии, но следует сказать: удобство и безопасность обычнопредставляют собой дихотомию. Один из наших самых заядлых комментаторов сделал аналогичное заявление ранее, когда мы сообщали об утечках ЦРУ из Убежища 7.
Поскольку мы становимся более близкими к используемым нами технологиям (например, делимся своими паролями, личной информацией и т. д.), мы фактически даем хакерам еще один способ скомпрометировать нас. Нарушения происходят потому, что мы открыто доверяем технологиям еще до того, как задаемся вопросом, способны ли они защитить нас от вреда.
LastPass – это сервис, который делает все возможное, чтобы пользователи могли доверять ему свои пароли, которые являются ключом к их существованию в Интернете. Но при всем уважении к ним, мы должны спросить себя: что, если однажды нам не посчастливится исправить ошибку до того, как она будет использована? Что, если непредвиденная проблема в коде приложения позволит хакеру проскользнуть и увидеть всю вашу информацию в открытом доступе?
Вторжения в LastPass случались и раньше, последний из них был в 2015 году . После этого, в июле 2016 года, к публике появился более доброжелательный хакер решил выявить ошибку, которую можно было эксплуатировать .
Идея в том, что никогда не следует успокаиваться. Конечно, многие из этих эксплойтов, по общему признанию, немного более разрекламированы, чем следовало бы. Но вы должны осознавать тот факт, что вы вступаете на опасную территорию каждый раз, когда отдаете в службу что-то личное. Иногда польза перевешивает риск, но принять такое решение сможете только вы, получив полную информацию о том, на что подписываетесь.
Используете ли вы менеджер паролей ? Как вы относитесь к возможности взлома сервиса, который вы используете? Расскажите нам в комментариях!