Lastpass ช่องโหว่การขยายเบราว์เซอร์เปิดเผย: วิธีการอยู่อย่างปลอดภัย

LastPass ผู้จัดการรหัสผ่านที่ได้รับความนิยมมากที่สุดคนหนึ่งกำลังประสบปัญหาร้ายแรงกับส่วนขยายเบราว์เซอร์เนื่องจากมีช่องโหว่หลายอย่างเปิดเผยกับบริการในช่วงสัปดาห์ที่ผ่านมาและยังคงมีอยู่

เทคโนโลยีมีการพัฒนาอยู่ตลอดและถึงแม้ว่ามันจะช่วยยกระดับไลฟ์สไตล์ของเรา แต่บางครั้งมันก็สามารถสร้างความเสียหายได้ในกรณีที่ข้อบกพร่องบางอย่างถูกนำไปใช้โดยเฉพาะอย่างยิ่งเมื่อบริการเช่น LastPass ซึ่งรับผิดชอบการป้องกันรหัสผ่านนับสิบล้าน

เมื่อสัปดาห์ที่แล้วเมื่อวันที่ 20 มีนาคม Tavis Ormandy นักวิจัยที่ Project Zero ของ Google ได้เปิดเผยข้อบกพร่องสองข้อในส่วนขยายเบราว์เซอร์ของ LastPass ซึ่งทำให้ผู้ใช้เสี่ยงต่อการเรียกใช้รหัสจากระยะไกล

ช่องโหว่ที่เปิดเผยมีผลกระทบต่อทั้งธุรกิจและผู้ใช้ส่วนบุคคลของบริการ

ช่องโหว่เปิดเผยในช่วงสัปดาห์ที่ผ่านมา?

20 มีนาคม: Tavis Ormandy พบช่องโหว่ระยะไกลสองตัวที่เรียกใช้รหัสระยะไกล (RCE) ที่ส่งผลต่อส่วนขยายเบราว์เซอร์ของ LastPass ซึ่งอาจทำให้ผู้โจมตีสามารถขโมยรหัสผ่านได้

อุ๊ปส์ LastPass bug ใหม่ที่ส่งผลกระทบต่อ 4.1.42 (Chrome & FF) RCE หากคุณใช้“ ส่วนประกอบไบนารี” มิฉะนั้นสามารถขโมย pwds รายงานแบบเต็มทาง pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) 20 มีนาคม 2017

21 มีนาคม: LastPass รับทราบรายงานของ Ormandy และยืนยันว่ามีช่องโหว่อยู่และทีมของพวกเขาจะทำงานเพื่อแก้ไข

เรารับทราบถึงรายงานโดย @taviso และทีมของเราได้ทำการแก้ไขในขณะที่เรากำลังแก้ไขปัญหา คอยติดตามการปรับปรุง

- LastPass (@LastPass) 21 มีนาคม 2017

22 มีนาคม: บริษัท ประกาศว่าพวกเขาได้เปิดตัว Chrome (v 4.1.43) รุ่นใหม่และ Firefox (v 4.1.36) ส่วนขยายเบราว์เซอร์พร้อมการปรับปรุงความปลอดภัย

พวกเขายังกล่าวอีกว่าไม่มีข้อมูลใดถูกบุกรุกระหว่างช่วงเวลานี้และผู้ใช้ไม่จำเป็นต้องกังวลเกี่ยวกับการเปลี่ยนข้อมูลประจำตัว ส่วนขยายเบราว์เซอร์ Microsoft Edge และ Opera รุ่นที่อัปเดตจะออกวางจำหน่ายรอการอนุมัติของ บริษัท

25 มีนาคม: Tavis Ormandy เปิดโปงช่องโหว่อื่นที่ต้องเผชิญกับส่วนขยายเบราว์เซอร์ Google Chrome รุ่นอัปเดต (v 4.1.43) LastPass ยอมรับช่องโหว่ในการอัปเดตประกาศ 22 มีนาคมของพวกเขา

อ่าฉันมีอาการป่วยไข้ในห้องอาบน้ำในเช้านี้และรู้วิธีรับ codeexec ใน LastPass 4.1.43 รายงานฉบับเต็มและใช้ประโยชน์จากทาง pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) 25 มีนาคม 2017

27 มีนาคม: LastPass ออกแถลงการณ์” เราไม่ได้กล่าวถึงช่องโหว่นี้อย่างจริงจัง การโจมตีครั้งนี้มีเอกลักษณ์และมีความซับซ้อนสูง เราไม่ต้องการเปิดเผยสิ่งที่เฉพาะเจาะจงเกี่ยวกับช่องโหว่หรือการแก้ไขของเราที่สามารถเปิดเผยสิ่งใด ๆ ให้กับผู้ที่มีความซับซ้อนน้อยลง

จะอยู่อย่างปลอดภัยได้อย่างไร

ขณะนี้ LastPass ยืนยันว่ากำลังทำงานเพื่อแก้ไขปัญหาด้านความปลอดภัยด้วยบริการของพวกเขาและคาดว่าจะได้รับการแก้ไขแบบเต็มในไม่ช้า ในระหว่างนี้ขอแนะนำให้ผู้ใช้ LastPass ปฏิบัติตามข้อควรระวังต่อไปนี้

• เพื่อปกป้องข้อมูลรับรองการเข้าสู่ระบบของพวกเขาแนะนำให้ผู้ใช้ปิดการใช้งานส่วนขยายเบราว์เซอร์ในเวลาเดียวกันและเปิดเว็บไซต์โดยตรงจาก LastPass Vault จนกว่า บริษัท จะแก้ไขช่องโหว่ได้
• เปิดใช้งานการรับรองความถูกต้องแบบสองปัจจัยสำหรับบัญชีทั้งหมดที่เสนอตัวเลือกเพื่อเพิ่มระดับความปลอดภัยให้กับบัญชีของคุณในกรณีที่ผู้โจมตีถูกโจมตีจากช่องโหว่
• ระวังการโจมตีแบบฟิชชิง อย่าคลิกลิงก์จากแหล่งที่ไม่น่าเชื่อถือ - คนที่คุณไม่รู้จัก

กำลังมองหาทางเลือกอื่นใน LastPass? ลองดูตัวเลือก 3 อันดับแรกที่นี่