Vào đầu tháng, chúng tôi đã chứng kiến các chuyên gia an ninh mạng ở khắp mọi nơi liên quan đến vụ rò rỉ Vault 7, nơi mọi thứ từ các công cụ hack của CIA đến khám phá "ma thuật meme" của họ đều được tung lên WikiLeaks cho cả thế giới xem.
Chỉ còn vài tuần nữa đã trôi qua và tháng 3 tiếp tục là một tháng nhiều hành động vì các lỗi trong tiện ích mở rộng trình duyệt của LastPass cho phép tin tặc lấy mật khẩu từ những người dùng không nghi ngờ.
Lỗi
Một lỗi trong tiện ích mở rộng Google Chrome của LastPass đã được Tavis Ormandy, một thành viên của Google’s Project Zero, phát hiện vào thứ Hai. Lỗi đầu tiên - cho phép tin tặc viết mã trong khi chiếm quyền điều khiển giao tiếp của máy tính của bạn với máy chủ mà bạn đang đăng nhập và giành quyền truy cập vào mật khẩu của bạn - có thể được tìm thấy trong báo cáo này. Báo cáo này cũng chứa mã bằng chứng về khái niệm trong trường hợp bạn ' quan tâm.
Một lỗi khác được tìm thấy bởi Ormandy là trong phần mở rộng LastPass ’Firefox phiên bản 3.3.2 (cũ hơn, nhưng vẫn rất phổ biến). Nó cho phép tin tặc thực thi một tập lệnh đa trang web để tiết lộ mật khẩu của người dùng thông qua các cảnh báo.
Vào thứ Ba, LastPass đã khiến miền dịch vụ nội bộ chịu trách nhiệm chuyển thông tin xác thực dường như không tồn tại (ví dụ:NXDOMAIN-ing) trong khi họ điều tra sự cố, sau đó đăng thông báo vào thứ Tư nói rằng họ đã khắc phục sự cố trong tiện ích mở rộng của Chrome.
Về phần mở rộng của Firefox, họ vẫn để nguyên vì nhánh phiên bản 3.x sẽ ngừng hoạt động vào tháng 4. Để rõ ràng, đây không phải là một lời buộc tội. Họ đã công khai điều đó trong thông báo của mình:“ Lỗi này đã được báo cáo cho nhóm của chúng tôi vào năm ngoái và đã được sửa vào thời điểm đó. Tuy nhiên, bản sửa lỗi đã không được đẩy xuống nhánh Firefox 3.3.x kế thừa của chúng tôi; chi nhánh này đã được lên lịch nghỉ hưu chính thức vào tháng 4. ”
Bạn nên làm gì
Nếu bạn sử dụng các dịch vụ của LastPass, tôi thực sự khuyên bạn nên đảm bảo rằng các tiện ích mở rộng trình duyệt của bạn được cập nhật càng nhiều càng tốt. Ngoài ra, không có mối đe dọa tức thời nào cần được báo động. Nói chung, bạn nên làm điều này với tất cả các tiện ích mở rộng của mình. Theo mặc định, cả Chrome và Firefox sẽ thực hiện các cập nhật này cho bạn, vì vậy nếu bạn đã chọn không tham gia, có lẽ bây giờ là thời điểm tốt để suy nghĩ lại điều đó.
Có một mối quan tâm lớn hơn, mặc dù…
Nói điều này chắc chắn sẽ không giành được điểm cho bất kỳ ai trong môi trường công nghiệp công nghệ ngày nay, nhưng phải nói rằng:sự tiện lợi và bảo mật là thường một sự phân đôi. Một trong những nhà bình luận nhiệt tình nhất của chúng tôi đã phát biểu tương tự trước đó khi chúng tôi báo cáo về vụ rò rỉ Vault 7 của CIA.
Khi chúng tôi trở nên thân thiết hơn (ví dụ:chia sẻ mật khẩu, thông tin cá nhân của chúng tôi, v.v.) với công nghệ chúng tôi sử dụng, chúng tôi đang cung cấp cho tin tặc một cách hiệu quả hơn để xâm nhập chúng tôi. Vi phạm xảy ra bởi vì chúng ta công khai tin tưởng các công nghệ trước khi chúng ta tự hỏi bản thân rằng liệu chúng có thể bảo vệ chúng ta khỏi bị tổn hại hay không.
LastPass là một dịch vụ làm mọi thứ có thể để đảm bảo rằng người dùng có thể tin tưởng nó bằng mật khẩu của họ - chính là chìa khóa cho sự tồn tại trực tuyến của họ. Nhưng với tất cả sự tôn trọng dành cho chúng, chúng ta phải tự hỏi mình:điều gì sẽ xảy ra nếu một ngày chúng ta không đủ may mắn để một lỗi được vá trước khi nó được khai thác? Điều gì sẽ xảy ra nếu một vấn đề không lường trước được trong mã ứng dụng cho phép tin tặc xâm nhập và xem tất cả thông tin của bạn một cách công khai?
Các vụ xâm nhập LastPass đã từng xảy ra trước đây, lần gần đây nhất là vào năm 2015. Sau đó, vào tháng 7 năm 2016, một hacker nhân từ hơn đã quyết định tiết lộ một lỗi có thể bị khai thác cho công chúng.
Ý tưởng ở đây là bạn không bao giờ nên tự mãn. Chắc chắn, rất nhiều khai thác này được thừa nhận là hơi cường điệu hơn những gì họ nên làm. Nhưng bạn nên biết thực tế rằng bạn đang đi vào lãnh thổ nguy hiểm mỗi khi bạn cung cấp một thứ gì đó cá nhân cho một dịch vụ. Đôi khi lợi ích lớn hơn rủi ro, nhưng chỉ bạn mới có thể đưa ra quyết định đó khi bạn được thông báo đầy đủ về những gì bạn đang đăng ký.
Bạn có sử dụng trình quản lý mật khẩu không? Bạn cảm thấy thế nào về khả năng dịch vụ bạn đang sử dụng gặp phải vi phạm? Hãy cho chúng tôi biết trong một bình luận!