Sikkerhetsproblem i lastpassutvidelsen avslørte: hvordan du kan være trygg

En av de mest populære passordadministratorene LastPass står overfor alvorlige problemer med nettleserutvidelsene sine ettersom flere sikkerhetsproblemer ble avslørt med tjenesten den siste uken, og de vedvarer fortsatt.

Teknologi er i stadig utvikling, og selv om det er ment å forbedre livsstilen vår, kan det noen ganger til og med være skadelig i tilfelle visse feil blir utnyttet, spesielt når en tjeneste som LastPass, som er ansvarlig for å ivareta titalls millioner passord, er bekymret.

Forrige uke, 20. mars, avdekket Tavis Ormandy, en forsker ved Googles Project Zero, to feil i LastPass 'nettleserutvidelser som gjorde brukere sårbare for ekstern kjøring av kode.

De avslørte sårbarhetene påvirket både forretnings- og personlige brukere av tjenesten.

Sårbarheter avslørt i løpet av den siste uken?

20. mars: Tavis Ormandy finner to sårbarheter med ekstern kjøring av kode (RCE) som påvirket LastPass 'nettleserutvidelser - noe som muliggjør at en angriper kan stjele passord.

Beklager, ny LastPass-feil som påvirker 4.1.42 (Chrome og FF). RCE hvis du bruker “Binary Component”, ellers kan stjele pwds. Full rapport på vei. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) 20. mars 2017

21. mars: LastPass erkjenner Ormandys rapport og bekrefter at sårbarhetene eksisterer og teamet deres vil jobbe for å fikse dem.

Vi er klar over rapporten fra @taviso og teamet vårt har satt en løsning på plass mens vi jobber med en resolusjon. Følg med for oppdateringer.

- LastPass (@LastPass) 21. mars 2017

22. mars: Selskapet kunngjør at de har gitt ut nye versjoner av nettleserutvidelser for Chrome (v 4.1.43) og Firefox (v 4.1.36) med sikkerhetsoppdateringer på plass.

De nevnte også at ingen data ble kompromittert mellom denne perioden, og brukere trenger ikke å bekymre seg for å endre legitimasjon. Oppdaterte versjoner av nettleserutvidelser for Microsoft Edge og Opera vil bli utgitt i påvente av godkjenning av selskapet.

25. mars: Tavis Ormandy avdekker en annen sårbarhet som den oppdaterte versjonen av Google Chrome-nettleserutvidelsen står overfor (v 4.1.43). LastPass erkjenner sårbarheten i en oppdatering av kunngjøringen deres 22. mars.

Ah-ha, jeg hadde en epifanie i dusjen i morges og skjønte hvordan jeg skulle få kodeexec i LastPass 4.1.43. Full rapport og utnyttelse underveis. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) 25. mars 2017

27. mars: LastPass sendte ut en uttalelse, ”Vi adresserer ikke aktivt sårbarheten. Dette angrepet er unikt og svært sofistikert. Vi ønsker ikke å røpe noe spesifikt om sårbarheten eller løsningen vår som kan avsløre noe for mindre sofistikerte, men ubehagelige partier. ”

Hvordan være trygg?

Foreløpig har LastPass bekreftet at det jobber for å fikse sikkerhetsproblemene med tjenesten deres, og en full løsning kan forventes snart. I mellomtiden anbefales det at brukere av LastPass følger oppmerksomhet på følgende forholdsregler.

• For å ivareta påloggingsinformasjon, anbefales brukere å deaktivere nettleserutvidelsene i mellomtiden og starte nettsteder direkte fra LastPass Vault til sårbarhetene er løst av selskapet.
• Slå på tofaktorautentisering for alle kontoene som tilbyr alternativet, og gi kontoen din et ekstra lag med sikkerhet i tilfelle sårbarheten utnyttes av en angriper.
• Vær på utkikk etter phishing-angrep. Ikke klikk på lenker fra pålitelige kilder - folk du ikke kjenner

Leter du etter alternativer til LastPass? Sjekk ut de tre beste alternativene her.