Vulnerabilitatea extinderii browserului Lastpass: cum să fii în siguranță

Unul dintre cei mai populari manageri de parolă LastPass se confruntă cu probleme severe cu extensiile sale de browser, deoarece mai multe vulnerabilități au fost dezvăluite cu serviciul în ultima săptămână, și încă persistă.

Tehnologia este în continuă evoluție și, deși este menită să ne îmbunătățească stilul de viață, uneori poate fi chiar dăunător în cazul în care anumite bug-uri sunt exploatate, mai ales atunci când este preocupat un serviciu precum LastPass, care este responsabil de salvgardarea a zeci de milioane de parole.

Săptămâna trecută, pe 20 martie, Tavis Ormandy, cercetător la Google Project Zero, a descoperit două erori în extensiile browser-ului LastPass, care i-au făcut pe utilizatori vulnerabili la executarea de la distanță a codului.

Vulnerabilitățile dezvăluite au afectat atât utilizatorii de afaceri cât și cei personali ai serviciului.

Vulnerabilități dezvăluite în săptămâna trecută?

20 martie: Tavis Ormandy găsește două vulnerabilități de la Remote Code Execution (RCE) care afectau extensiile browser-ului LastPass - permițând un atacator să fure parolele.

Hops, noul bug LastPass care afectează 4.1.42 (Chrome și FF). RCE dacă utilizați „Componentul binar”, altfel puteți fura pwds. Raport complet pe parcurs. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) 20 martie 2017

21 martie: LastPass recunoaște raportul Ormandy și confirmă că vulnerabilitățile există și echipa lor va lucra pentru remedierea acestora.

Suntem la curent cu raportul @taviso și echipa noastră a pus o soluție de rezolvare în timp ce lucrăm la o rezoluție. Fii la curent cu actualizările.

- LastPass (@LastPass) 21 martie 2017

22 martie: Compania anunță că au lansat versiuni noi de extensii de browser Chrome (v 4.1.43) și Firefox (v 4.1.36) cu actualizări de securitate în vigoare.

De asemenea, aceștia au menționat că nu au fost compromise date între această perioadă și că utilizatorii nu trebuie să-și facă griji cu privire la schimbarea acredităților. Versiunile actualizate ale extensiilor de browser Microsoft Edge și Opera vor fi lansate în așteptarea aprobării companiei.

25 martie: Tavis Ormandy descoperă o altă vulnerabilitate cu care se confruntă versiunea actualizată a extensiei browserului Google Chrome (v 4.1.43). LastPass recunoaște vulnerabilitatea într-o actualizare a anunțului lor din 22 martie.

Ah, ha, am avut o epifanie în duș în această dimineață și mi-am dat seama cum să fac codexec în LastPass 4.1.43. Raport complet și exploatare pe parcurs. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) 25 martie 2017

27 martie: LastPass a emis o declarație, „Nu abordăm în mod activ vulnerabilitatea. Acest atac este unic și extrem de sofisticat. Nu dorim să dezvăluim nimic specific despre vulnerabilitate sau remedierea noastră care ar putea dezvălui ceva unor părți mai puțin sofisticate, dar nefaste."

Cum să stai în siguranță?

În prezent, LastPass a confirmat că lucrează la remedierea problemelor de securitate cu serviciul lor și poate fi așteptată în curând o soluție completă. Între timp, este recomandat utilizatorilor LastPass să fie atenți la următoarele precauții.

• Pentru a-și proteja datele de autentificare, utilizatorilor li se recomandă să dezactiveze între timp extensiile browserului și să lanseze site-uri web direct de la LastPass Vault până la rezolvarea vulnerabilităților de către companie.
• Activați autentificarea cu doi factori pentru toate conturile care oferă opțiunea, oferind contului dvs. un nivel suplimentar de securitate în cazul în care vulnerabilitatea este exploatată de un atacator.
• Fii atent la atacuri de phishing. Nu faceți clic pe linkurile din surse de încredere - persoane pe care nu le cunoașteți

Căutați alternative la LastPass? Consultați aici cele mai bune 3 alternative.