Anfang des Monats sahen wir überall Cybersicherheitsexperten, die die Vault 7-Lecks untersuchten, wo alles von Hacking-Tools der CIA bis zur Erkundung von "Meme Magic" auf WikiLeaks veröffentlicht wurde, damit die Welt es sehen konnte.

Kaum ein paar Wochen sind vergangen, und der März ist weiterhin ein aktionsreicher Monat, da Bugs in den Browsererweiterungen von LastPass es Hackern erlauben würden, Passwörter von ahnungslosen Benutzern zu schnappen.

Die Käfer

Ein Fehler in der Google Chrome-Erweiterung von LastPass wurde am Montag von Tavis Ormandy, einem Mitglied von Google Project Zero, entdeckt. Der erste Bug - der es Hackern erlaubt, Code zu schreiben, während sie die Kommunikation Ihres Computers mit dem Server, auf dem Sie sich anmelden, entschlüsseln und Zugriff auf Ihre Passwörter erhalten - finden Sie in diesem Bericht, der auch seinen Proof-of-Concept-Code enthält. Ich bin interessiert.

Der andere von Ormandy gefundene Fehler war in LastPass 'Firefox-Erweiterung Version 3.3.2 (älter, aber immer noch sehr beliebt). Es ermöglicht Hackern, ein universelles Cross-Site-Skript auszuführen, um das Passwort eines Benutzers durch Warnmeldungen anzuzeigen.

Am Dienstag hat LastPass die interne Servicedomäne, die für die Übertragung von Authentifizierungsinformationen verantwortlich ist (z. B. NXDOMAIN-ing), während sie das Problem untersucht hat, benachrichtigt und am Mittwoch eine Ankündigung veröffentlicht, dass sie die Probleme in der Chrome-Erweiterung behoben haben.

Soweit es die Firefox-Erweiterung betrifft, haben sie es unverändert gelassen, da der 3.x-Versionszweig ohnehin im April eingestellt wird. Um es klar zu sagen, dies ist keine Anklage. Sie haben es in ihrer Ankündigung offen gesagt: " Dieser Fehler wurde unserem Team im letzten Jahr gemeldet und zu diesem Zeitpunkt behoben. Der Patch wurde jedoch nicht in unseren alten Firefox 3.3.x-Zweig verschoben. Diese Niederlassung ist für den formellen Ruhestand im April geplant. "

Was du machen solltest

Wenn Sie die Dienste von LastPass nutzen, empfehlen wir dringend, dass Ihre Browser-Erweiterungen so aktuell wie möglich sind. Abgesehen davon gibt es keine unmittelbare Gefahr, vor der man Angst haben könnte. Im Allgemeinen sollten Sie dies mit all Ihren Erweiterungen tun. Standardmäßig führen sowohl Chrome als auch Firefox diese Updates für Sie aus. Wenn Sie sich also abgemeldet haben, ist es jetzt vielleicht an der Zeit, sich darüber Gedanken zu machen.

Es gibt eine größere Sorge, obwohl ...

Dies zu sagen, wird sicherlich keine Punkte im heutigen Tech-Industrie-Klima gewinnen, aber es muss gesagt werden: Bequemlichkeit und Sicherheit sind normalerweise eine Dichotomie. Einer unserer eifrigsten Kommentatoren hat eine ähnliche Aussage gemacht, als wir über die Vault-7-Lecks der CIA berichteten.

Wenn wir mit der Technologie, die wir verwenden, vertrauter werden (z. B. unsere Passwörter, unsere persönlichen Daten usw.), geben wir Hackern einen weiteren Weg, uns zu kompromittieren. Verstöße passieren, weil wir Technologien offen vertrauen, bevor wir uns überhaupt fragen, ob sie uns vor Schaden schützen können.

LastPass ist ein Dienst, der alles in seiner Macht Stehende tut, um sicherzustellen, dass seine Benutzer ihm mit ihren Passwörtern vertrauen können - die Schlüssel zu ihrer Online-Existenz. Aber bei allem Respekt für sie müssen wir uns fragen: Was, wenn wir eines Tages nicht genug Glück haben, dass ein Bug gepatcht wird, bevor er ausgenutzt wird? Was ist, wenn ein unvorhergesehenes Problem im Anwendungscode es einem Hacker erlaubt, reinzukommen und alle Ihre Informationen offen zu sehen?

Intrusionen in LastPass sind schon einmal passiert, zuletzt im Jahr 2015. Danach, im Juli 2016, beschloss ein wohlwollenderer Hacker, einen Fehler zu enthüllen, der für die Öffentlichkeit ausgenutzt werden könnte.

Die Idee hier ist, dass Sie niemals selbstgefällig sein sollten. Sicher, viele dieser Exploits sind zugegebenermaßen ein bisschen mehr gehypt, als sie sein sollten. Aber Sie sollten sich der Tatsache bewusst sein, dass Sie jedes Mal, wenn Sie einem Dienst etwas Persönliches geben, in gefährliches Territorium gehen. Manchmal überwiegt der Nutzen das Risiko, aber nur Sie können diese Entscheidung treffen, sobald Sie vollständig darüber informiert sind, wofür Sie sich anmelden.

Verwenden Sie einen Passwort-Manager? Was halten Sie von der Möglichkeit, dass der Dienst, den Sie verwenden, einen Verstoß aufweist? Erzähle uns in einem Kommentar!