Lastpass tarayıcı uzantısı güvenlik açığı ortaya çıktı: nasıl güvenli kalınır

En popüler Parola yöneticilerinden biri olan LastPass, geçtiğimiz hafta hizmetle birlikte birden fazla güvenlik açığı ortaya çıktığından ve hala devam etmelerinden dolayı, tarayıcı uzantılarıyla ilgili ciddi sorunlarla karşılaşıyor.

Teknoloji sürekli olarak gelişmektedir ve yaşam tarzımızı geliştirmeyi amaçlasa da, bazen, özellikle de on milyonlarca şifreyi korumakla sorumlu olan LastPass gibi bir hizmet söz konusu olduğunda, belirli böceklerin kullanılması durumunda bile zarar verebilir.

Geçtiğimiz hafta, 20 Mart’ta, Google’ın Proje Sıfır’ındaki bir araştırmacı olan Tavis Ormandy, LastPass’ın tarayıcı uzantısındaki iki kullanıcıyı, kullanıcıları uzaktan kod yürütmeye açık hale getirdi.

Ortaya çıkan güvenlik açıkları, hem işletmeyi hem de hizmetin kişisel kullanıcılarını etkiledi.

Geçen Hafta Boyunca Açığa Çıkan Güvenlik Açıkları?

20 Mart: Tavis Ormandy, LastPass'ın tarayıcı uzantılarını etkileyen iki Uzak Kod Yürütme (RCE) güvenlik açığı buldu - saldırganın parola çalmasına neden olabilir.

Hata! 4.1.42'yi etkileyen yeni LastPass hatası (Chrome ve FF). “İkili Bileşen” kullanırsanız, RCE aksi takdirde pwds çalabilir. Tam rapor yolda. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) 20 Mart 2017

21 Mart: LastPass, Ormandy'nin raporunu onayladı ve güvenlik açıklarının var olduğunu ve ekiplerinin onları düzeltmek için çalışacağını onayladı.

@Taviso tarafından hazırlanan raporun farkındayız ve ekibimiz bir çözüm üzerinde çalışırken geçici bir çözüm getirdi. Güncellemeler için bizi izlemeye devam edin.

- LastPass (@LastPass) 21 Mart 2017

22 Mart: Şirket, güvenlik güncellemeleri olan Chrome (v 4.1.43) ve Firefox (v 4.1.36) tarayıcı uzantılarının yeni sürümlerini yayınladıklarını duyurdu.

Ayrıca, bu süre arasında hiçbir verinin tehlikeye atılmadığını ve kullanıcıların kimlik bilgilerini değiştirme konusunda endişelenmelerine gerek olmadığını da belirtti. Microsoft Edge ve Opera tarayıcı uzantılarının güncellenmiş sürümleri, şirket onayını beklemeden yayınlanacaktır.

25 Mart: Tavis Ormandy, Google Chrome tarayıcı uzantısının güncellenmiş versiyonunun (v 4.1.43) karşılaştığı bir başka güvenlik açığını çözdü. LastPass, 22 Mart duyurularının güncellemesinde güvenlik açığını kabul ediyor.

Ah-ha, bu sabah duşta bir epifaniyetim vardı ve LastPass 4.1.43'te nasıl kodekseksel olacağını anladım. Tam rapor ve yolda istismarı. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) 25 Mart 2017

27 Mart: LastPass bir bildiri yayınladı : ”Güvenlik açığını aktif olarak ele almıyoruz. Bu saldırı benzersiz ve çok karmaşık. Daha az karmaşık ama nefret dolu partilere herhangi bir şey gösterebilecek güvenlik açığı veya düzeltmemiz hakkında özel bir şey ifşa etmek istemiyoruz. ”

Nasıl Güvende Kalınır?

Şu anda, LastPass, güvenlik sorunlarını kendi hizmetleriyle çözmeye çalıştığını doğruladı ve yakında tam bir düzeltme beklenebilir. Bu arada, LastPass kullanıcılarının aşağıdaki önlemlere dikkat etmeleri önerilir.

• Giriş kimlik bilgilerini korumak için, kullanıcıların bu arada tarayıcı uzantılarını devre dışı bırakmaları ve güvenlik açıkları şirket tarafından çözülene kadar web sitelerini doğrudan LastPass Kasası'ndan başlatmaları önerilir.
• Bu seçeneği sunan tüm hesaplar için İki Faktörlü Kimlik Doğrulamayı açın, bu güvenlik açığından bir saldırgan tarafından yararlanılması durumunda hesabınıza ek bir güvenlik katmanı sağlayın.
• Kimlik avı saldırıları için tetikte olun. Güvenilmeyen kaynaklardan gelen bağlantıları tıklamayın - tanımadığınız kişiler

LastPass alternatifleri mi arıyorsunuz? Buradaki ilk 3 alternatifi inceleyin.