월초에 우리는 CIA의 해킹 도구에서 "밈 마법"의 탐구에 이르기까지 모든 것이 전 세계가 볼 수 있도록 WikiLeaks에 덤프된 Vault 7 유출과 관련하여 모든 곳에서 사이버 보안 전문가가 무기를 들고 있는 것을 보았습니다.
겨우 몇 주가 지났지만 3월은 LastPass의 브라우저 확장 프로그램의 버그로 인해 해커가 의심하지 않는 사용자의 비밀번호를 도용할 수 있기 때문에 계속해서 액션으로 가득 찬 한 달입니다.
버그
LastPass의 Google 크롬 확장 프로그램에서 버그가 월요일에 Google Project Zero의 구성원인 Tavis Ormandy에 의해 발견되었습니다. 첫 번째 버그(해커가 로그인 중인 서버와 컴퓨터의 통신을 가로채고 비밀번호에 액세스하는 동안 코드를 작성할 수 있음)는 이 보고서에서 찾을 수 있습니다. 이 보고서에는 관심을 가져주세요.
Ormandy가 발견한 다른 버그는 LastPass의 Firefox 확장 버전 3.3.2(이전 버전이지만 여전히 인기가 높음)에 있습니다. 이를 통해 해커는 범용 크로스 사이트 스크립트를 실행하여 경고를 통해 사용자의 비밀번호를 공개할 수 있습니다.
화요일 LastPass는 문제를 조사하는 동안 인증 정보 전송을 담당하는 내부 서비스 도메인(예:NXDOMAIN-ing)이 존재하지 않는 것으로 표시한 다음 수요일에 Chrome 확장 프로그램에서 문제를 수정했다는 발표를 게시했습니다.
Firefox 확장에 관한 한, 3.x 버전 분기가 어쨌든 4월에 폐기될 것이기 때문에 그대로 두었습니다. 분명히 말해서 이것은 비난이 아닙니다. "이 버그는 작년에 우리 팀에 보고되었으며 당시 수정되었습니다. 그러나 수정 사항은 기존 Firefox 3.3.x 분기로 푸시되지 않았습니다. 이 지부는 4월에 공식 은퇴할 예정입니다. "
해야 할 일
LastPass의 서비스를 사용하는 경우 브라우저 확장이 가능한 최신 상태인지 확인하는 것이 좋습니다. 그 외에는 경각심을 불러일으킬 즉각적인 위협은 없습니다. 일반적으로 모든 확장에 대해 이 작업을 수행해야 합니다. 기본적으로 Chrome과 Firefox는 모두 이러한 업데이트를 수행하므로 선택 해제했다면 지금이 다시 한 번 생각해 볼 좋은 기회일 것입니다.
더 큰 걱정거리가 있지만...
오늘날의 기술 산업 환경에서 이 말을 한다고 해서 아무 점수를 얻지는 못할 것이지만 다음과 같이 말해야 합니다. 편의성과 보안은 보통 이분법. 우리의 가장 열렬한 논평자 중 한 명이 우리가 CIA의 볼트 7 유출에 대해 보고했을 때 비슷한 성명을 발표했습니다.
우리가 사용하는 기술과 더 친밀해짐에 따라(예:비밀번호, 개인 정보 등을 공유) 해커가 우리를 손상시킬 수 있는 또 하나의 방법을 효과적으로 제공하고 있습니다. 침해는 기술이 우리를 위험으로부터 보호할 수 있는지 묻기도 전에 공개적으로 기술을 신뢰하기 때문에 발생합니다.
LastPass는 사용자가 온라인 존재의 핵심인 암호로 신뢰할 수 있도록 최선을 다하는 서비스입니다. 그러나 그들에 대한 모든 적절한 존중과 함께 우리는 스스로에게 물어야 합니다. 언젠가 우리가 버그가 악용되기 전에 패치될 만큼 운이 좋지 않다면 어떻게 될까요? 응용 프로그램 코드의 예상치 못한 문제로 인해 해커가 침입하여 모든 정보를 공개적으로 볼 수 있다면 어떨까요?
LastPass에 대한 침입은 이전에 발생했으며 가장 최근의 것은 2015년이었습니다. 그 후 2016년 7월에 보다 자비로운 해커가 대중에게 악용될 수 있는 버그를 공개하기로 결정했습니다.
여기서의 아이디어는 절대 안주해서는 안 된다는 것입니다. 물론, 이러한 익스플로잇 중 많은 부분이 실제로 있어야 하는 것보다 약간 더 과장된 것이 사실입니다. 그러나 서비스에 개인적인 것을 줄 때마다 위험한 영역으로 걸어가고 있다는 사실을 인식해야 합니다. 때때로 이익이 위험을 능가하지만, 가입 대상에 대해 완전히 알게 된 후에만 결정을 내릴 수 있습니다.
비밀번호 관리자를 사용하십니까? 사용 중인 서비스가 침해를 당할 가능성에 대해 어떻게 생각하십니까? 댓글로 알려주세요!