I begyndelsen af ​​måneden så vi cybersikkerhedseksperter overalt op i våben om Vault 7 lækager, hvor alt fra hackingsværktøjer fra CIA til deres udforskning af "meme magic" blev dumpet på WikiLeaks for verden at se.

Næppe et par uger er gået, og marts fortsætter med at være en actionfyldt måned, da fejl i LastPass 'browserudvidelser ville tillade hackere at gribe adgangskoder fra intetanende brugere.

Bugs

En fejl i LastPass 'Google Chrome-udvidelse blev opdaget af Tavis Ormandy, medlem af Googles Project Zero, på mandag. Den første fejl - som tillader hackere at skrive i kode, mens de kapsler din computers kommunikation med den server, du logger ind på og får adgang til dine adgangskoder - findes i denne rapport, der også indeholder hans proof of concept-kode, hvis du ' være interesseret.

Den anden fejl fundet af Ormandy var i LastPass 'Firefox udvidelsesversion 3.3.2 (ældre, men stadig meget populær). Det tillader hackere at udføre et universelt cross-site script for at afsløre en brugers adgangskode gennem advarsler.

På tirsdag sendte LastPass det interne service domæne, der var ansvarlig for overførsel af godkendelsesoplysninger, som ikke eksisterede (f.eks. NXDOMAIN-ing), mens de undersøgte problemet, og sendte en meddelelse til onsdag om at de fik rettet spørgsmålene i Chrome-udvidelsen.

Hvad angår Firefox-udvidelsen, forlod de det, som det er siden 3.x-versionen vil blive pensioneret i april alligevel. For at være klar er dette ikke en beskyldning. De har sagt det åbent i deres meddelelse: " Denne fejl blev rapporteret til vores team sidste år og fastgjort på det tidspunkt. Imidlertid blev rettelsen ikke skubbet ned til vores tidligere Firefox 3.3.x filial; Denne afdeling er planlagt til en formel pension i april.

Hvad du skal gøre

Hvis du bruger LastPass 'tjenester, foreslår jeg stærkt, at din browserudvidelser er så opdaterede som muligt. Derudover er der ingen umiddelbar trussel mod at være foruroliget over. Generelt skal du gøre dette med alle dine udvidelser. Som standard vil både Chrome og Firefox udføre disse opdateringer for dig, så hvis du har afmeldt, er det måske en god idé at give det en anden tanke.

Der er en større bekymring, selv om ...

At sige dette vil helt sikkert ikke vinde nogen, der peger i dagens teknologiske industri klima, men det må siges: bekvemmelighed og sikkerhed er normalt en dikotomi. En af vores mest ivrig kommenterede gjorde en lignende erklæring tidligere, da vi rapporterede om CIA's Vault 7 lækager.

Når vi bliver mere intime (f.eks. Deling af vores adgangskoder, vores personlige oplysninger osv.) Med den teknologi, vi bruger, giver vi effektivt hackere til en anden måde at kompromittere os. Brud sker, fordi vi åbent stoler på teknologier, før vi selv spørger os selv, om de er i stand til at beskytte os mod skade.

LastPass er en tjeneste, der gør alt, hvad det kan for at sikre, at dets brugere kan stole på det med deres adgangskoder - selve nøglerne til deres online eksistens. Men med al respekt for dem skal vi spørge os selv: Hvad hvis en dag vi ikke er heldige nok til at få en bug til at blive patched, før den udnyttes? Hvad hvis et uventet problem i applikationskoden tillader en hacker at glide ind og se al din information ude i det åbne?

Intrusioner til LastPass er sket før, den seneste er i 2015. Herefter besluttede en mere velvillig hacker i juli 2016 at afsløre en fejl, der kunne udnyttes til offentligheden.

Ideen her er, at du aldrig skal være selvtilfreds. Sikker på, mange af disse udnyttelser er ganske vist lidt mere hyped, end de burde være. Men du bør være opmærksom på, at du går ind i farligt område hver gang du giver noget personligt til en tjeneste. Nogle gange opvejer fordelene risikoen, men kun du kan gøre beslutsomhed, når du er fuldt informeret om, hvad du tilmelder dig.

Bruger du en adgangskodeadministrator? Hvordan føler du om muligheden for den service, du bruger, hvis du oplever et brud? Fortæl os i en kommentar!