20

LastPass z groźną luką w przeglądarce – koniecznie zadbajcie o aktualizację

Jeżeli korzystacie z usług LastPass (ze szczególnym uwzględnieniem wtyczek dla przeglądarki), to koniecznie zadbajcie o aktualizację!

Zgodnie z przykazaniem wszystkich specjalistów do spraw bezpieczeństwa, coraz więcej użytkowników decyduje się na unikalne, losowo wygenerowane, hasło dla każdej z usług po które sięga. Jeżeli wybieramy taką opcję, to istnieje spore prawdopodobieństwo, że bez menadżera haseł się nie obejdzie. Wierzę że są użytkownicy, którzy starannie zapisują to wszystko w kajeciku ukrytym w domowym sejfie, ale to jakiś promil całości. Reszta wybiera usługę, której twórcy obiecują bezpieczeństwo i niezawodność. LastPass to platforma, której raczej specjalnie przedstawiać nie trzeba — od lat cieszy się ogromną popularnością. Ale zaliczyła ona ostatnio wpadkę, która jest koszmarem wszystkich obawiających się o swoje bezpieczeństwo w sieci.

Zobacz też: Najpopularniejsze menadżery haseł z poważnymi problemami, jednak wciąż warto z nich korzystać

Wtyczka do przeglądarki LastPass pozwalała na dostęp do ostatnio wpisywanego za jej pomocą hasła

Travis Ormandy na co dzień zasilający szeregi Project Zero w Google, zgłosił lukę 29. sierpnia — i na reakcję twórców aplikacji nie trzeba było specjalnie długo czekać. 13. września twórcy platformy LastPass zaktualizowali wszystkie rozszerzenia do przeglądarek. Na czym polegała odkryta przez niego luka? Wszystko opierało się na złośliwej stronie internetowej i użyciu na niej hasła, które wpisywaliśmy chwilę wcześniej. Naturalnie, jak to zwykle bywa w przypadku podobnych projektów, pomysłowi hakerzy mogli bez problemu użyć popularnych stron (jak chociażby usługi Google), by ukryć złośliwy URL i oszukać naiwnych odwiedzających. Wszystkie te problemy wynikały z nieaktualizowania cache’u.

Aktualizacja wtyczek w każdej z przeglądarek powinna już być dawno wykonana automatycznie, ale jak zwykle — warto zajrzeć do rozszerzeń i samemu upewnić się, czy wszystko wygląda i działa jak należy. Wersją wtyczki która uniemożliwia dostęp do ostatnio wpisywanego hasła jest ta oznaczona numerkiem 4.33.0 — jeżeli więc korzystacie z platformy, to dla własnego spokoju rzućcie okiem, czy macie ją już zainstalowaną.

Zobacz też: LastPass złamany. Lepiej szybko zmieńcie hasła…

Menadżery haseł wciąż budzą od groma wątpliwości

Rozmowy na temat faktycznego bezpieczeństwa menadżerów haseł toczą się regularnie. A jeśli już, to na jakie rozwiązanie się zdecydować: offline, na zaszyfrowanym nośniku, czy najwygodniejsze z możliwych — zsynchronizowane w chmurze? Ile głosów, tyle prawd na ten temat. Co ciekawe, twórcy LastPass do odnalezionego błędu podchodzą dość lekko — tłumacząc się tym, że by wykraść dane niezbędne jest spełnienie pewnych warunków, a nierzadko użytkownicy muszą kilka razy trafić na tę samą złośliwą stronę, by faktycznie mieć się czego obawiać. Z drugiej strony — Ormandy dał tej luce „wysoką” ocenę. No cóż, prawdą jest, że mogło być dużo gorzej — mimo wszystko to kolejny raz, kiedy można zacząć dumać, czy może te sposoby z domowym kajecikiem, mimo bycia dużo mniej komfortowymi, nie są jednak skuteczniejsze. Tam nic nie wycieka.