เมื่อต้นเดือน เราเห็นผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์ทุกที่เกี่ยวกับการรั่วไหลของ Vault 7 ซึ่งทุกอย่างตั้งแต่เครื่องมือแฮ็กโดย CIA ไปจนถึงการสำรวจ "meme magic" ของพวกเขาถูกทิ้งใน WikiLeaks เพื่อให้โลกได้เห็น
ผ่านไปไม่กี่สัปดาห์ และเดือนมีนาคมยังคงเป็นเดือนที่เต็มไปด้วยกิจกรรม เนื่องจากข้อบกพร่องในส่วนขยายเบราว์เซอร์ของ LastPass จะทำให้แฮ็กเกอร์สามารถคว้ารหัสผ่านจากผู้ใช้ที่ไม่สงสัยได้
แมลงสาบ
บั๊กในส่วนขยาย Google Chrome ของ LastPass ถูกค้นพบโดย Tavis Ormandy ซึ่งเป็นสมาชิกของ Project Zero ของ Google เมื่อวันจันทร์ ข้อบกพร่องแรก – ซึ่งช่วยให้แฮ็กเกอร์สามารถเขียนโค้ดในขณะที่แย่งชิงการสื่อสารของคอมพิวเตอร์กับเซิร์ฟเวอร์ที่คุณกำลังเข้าสู่ระบบและเข้าถึงรหัสผ่านของคุณ – สามารถพบได้ในรายงานนี้ซึ่งมีรหัสพิสูจน์แนวคิดในกรณีที่คุณ สนใจค่ะ
บั๊กอื่นๆ ที่ Ormandy พบอยู่ในส่วนขยาย Firefox ของ LastPass เวอร์ชัน 3.3.2 (เก่ากว่า แต่ยังคงเป็นที่นิยมมาก) ช่วยให้แฮกเกอร์สามารถรันสคริปต์ข้ามไซต์สากลเพื่อเปิดเผยรหัสผ่านของผู้ใช้ผ่านการเตือน
เมื่อวันอังคารที่ผ่านมา LastPass ได้กำหนดให้โดเมนบริการภายในที่รับผิดชอบในการถ่ายโอนข้อมูลการตรวจสอบสิทธิ์ปรากฏว่าไม่มีอยู่จริง (เช่น NXDOMAIN-ing) ขณะตรวจสอบปัญหา จากนั้นโพสต์ประกาศเมื่อวันพุธว่าได้แก้ไขปัญหาในส่วนขยายของ Chrome แล้ว
เท่าที่เกี่ยวข้องกับส่วนขยาย Firefox พวกเขาทิ้งมันไว้เนื่องจากสาขาเวอร์ชัน 3.x จะถูกยกเลิกในเดือนเมษายนอยู่แล้ว เพื่อให้ชัดเจน นี่ไม่ใช่ข้อกล่าวหา พวกเขาระบุไว้อย่างเปิดเผยในการประกาศ:“จุดบกพร่องนี้ถูกรายงานไปยังทีมของเราเมื่อปีที่แล้วและแก้ไขในเวลานั้น อย่างไรก็ตาม การแก้ไขไม่ได้ถูกผลักลงไปที่สาขา Firefox 3.3.x รุ่นเก่าของเรา สาขานี้มีกำหนดเกษียณอายุอย่างเป็นทางการในเดือนเมษายน ”
สิ่งที่คุณควรทำ
หากคุณใช้บริการของ LastPass ฉันขอแนะนำอย่างยิ่งให้ตรวจสอบให้แน่ใจว่าส่วนขยายเบราว์เซอร์ของคุณทันสมัยที่สุด นอกจากนั้น ไม่มีภัยคุกคามในทันทีที่ต้องตื่นตระหนก โดยทั่วไป คุณควรทำเช่นนี้กับส่วนขยายทั้งหมดของคุณ ตามค่าเริ่มต้น ทั้ง Chrome และ Firefox จะทำการอัปเดตเหล่านี้ให้กับคุณ ดังนั้นหากคุณเลือกไม่ใช้ ตอนนี้อาจเป็นเวลาที่ดีที่จะคิดทบทวนอีกครั้ง
มีข้อกังวลที่ใหญ่กว่าแม้ว่า…
การกล่าวเช่นนี้จะไม่ชนะใครเลยในบรรยากาศของอุตสาหกรรมเทคโนโลยีในปัจจุบัน แต่จำเป็นต้องพูด:ความสะดวกและความปลอดภัย โดยปกติ การแบ่งขั้ว ผู้แสดงความคิดเห็นตัวยงที่สุดคนหนึ่งของเราได้ออกแถลงการณ์ที่คล้ายกันก่อนหน้านี้เมื่อเรารายงานการรั่วไหลของ Vault 7 ของ CIA
เมื่อเราสนิทสนมกันมากขึ้น (เช่น การแบ่งปันรหัสผ่าน ข้อมูลส่วนบุคคลของเรา ฯลฯ) ด้วยเทคโนโลยีที่เราใช้ เรากำลังให้แฮ็กเกอร์มีวิธีในการประนีประนอมเราอีกวิธีหนึ่งอย่างมีประสิทธิภาพ การละเมิดเกิดขึ้นเนื่องจากเราเชื่อมั่นในเทคโนโลยีอย่างเปิดเผย ก่อนที่เราจะถามตัวเองว่าเทคโนโลยีเหล่านี้สามารถปกป้องเราจากอันตรายได้หรือไม่
LastPass เป็นบริการที่ทำทุกอย่างที่ทำได้เพื่อให้แน่ใจว่าผู้ใช้สามารถไว้วางใจมันด้วยรหัสผ่านของพวกเขา ซึ่งเป็นกุญแจสำคัญในการดำรงอยู่ออนไลน์ของพวกเขา แต่ด้วยความเคารพต่อพวกเขา เราต้องถามตัวเองว่า ถ้าวันหนึ่งเราไม่โชคดีพอที่จะแก้ไขจุดบกพร่องก่อนที่จะถูกโจมตี จะเกิดอะไรขึ้นหากปัญหาที่ไม่คาดคิดในรหัสแอปพลิเคชันทำให้แฮ็กเกอร์แอบเข้ามาและดูข้อมูลทั้งหมดของคุณแบบเปิดเผยได้
การบุกรุก LastPass เคยเกิดขึ้นมาก่อน โดยครั้งล่าสุดเกิดขึ้นในปี 2015 หลังจากนั้นในเดือนกรกฎาคม 2016 แฮ็กเกอร์ที่มีเมตตามากกว่าจึงตัดสินใจเปิดเผยจุดบกพร่องที่เผยแพร่สู่สาธารณะได้
แนวคิดในที่นี้คือคุณไม่ควรนิ่งนอนใจ แน่นอนว่าการหาประโยชน์เหล่านี้จำนวนมากได้รับการยอมรับมากกว่าที่ควรจะเป็น แต่คุณควรตระหนักถึงความจริงที่ว่าคุณกำลังเดินเข้าไปในพื้นที่อันตรายทุกครั้งที่คุณให้บริการที่เป็นส่วนตัว ในบางครั้ง ผลประโยชน์มีมากกว่าความเสี่ยง แต่มีเพียงคุณเท่านั้นที่สามารถตัดสินใจได้เมื่อได้รับแจ้งอย่างครบถ้วนว่าคุณกำลังสมัครใช้งานอะไร
คุณใช้ตัวจัดการรหัสผ่านหรือไม่? คุณรู้สึกอย่างไรเกี่ยวกับความเป็นไปได้ของบริการที่คุณกำลังประสบกับการละเมิด บอกเราในความคิดเห็น!