LastPass Tambal Pintu Masuk Situs Jahat Pengekstrak Sandi
Ilustrasi.
Jakarta, Cyberthreat.id - LastPass menambal bug yang memungkinkan situs web jahat mengekstrak kata sandi sebelumnya yang dimasukkan oleh ekstensi peramban layanan. Demikian laporan The Verge, Senin (16 September).
LastPass adalah pengelola kata sandi freemium yang menyimpan kata sandi terenkripsi secara online. Versi standar LastPass hadir dengan antarmuka web, termasuk plugin untuk berbagai browser web dan aplikasi untuk banyak smartphone, serta bookmarklet.
ZDNet melaporkan bahwa bug itu ditemukan oleh Tavis Ormandy, seorang peneliti di tim Project Zero Google, dan diungkapkan dalam laporan bug tertanggal 29 Agustus.
LastPass memperbaiki masalah pada 13 September, dan menyebarkan pembaruan ke semua browser di mana itu harus diterapkan secara otomatis, sesuatu yang pengguna LastPass akan cerdas untuk memverifikasi.
Bug ini bekerja dengan memikat pengguna ke situs web berbahaya, dan menipu ekstensi peramban untuk menggunakan kata sandi dari situs web yang dikunjungi sebelumnya.
Ormandy mencatat bahwa penyerang dapat menggunakan layanan seperti Google Translate untuk menyamarkan URL jahat dan mengelabui pengguna yang rentan agar mengunjungi situs jahat.
“Meskipun LastPass mengatakan pembaruan harus diterapkan secara otomatis, Anda harus memastikan bahwa Anda menjalankan versi terbaru dari ekstensi browser layanan, terutama jika Anda menggunakan browser yang memungkinkan Anda untuk menonaktifkan pembaruan otomatis untuk ekstensi,” tulis The Verge.
The Verge menambahkan, Bug itu telah ditambal dengan versi 4.33.0 ekstensi. LastPass mengatakan bahwa mereka percaya hanya browser Chrome dan Opera yang terpengaruh oleh bug, tetapi itu menyebarkan patch yang sama ke semua browser sebagai tindakan pencegahan.
Dalam sebuah pernyataan yang diposting di blognya, LastPass mengecilkan tingkat keparahan bug. Manajer Teknik Keamanan perusahaan, Ferenc Kun, mengatakan bahwa eksploitasi bergantung pada pengguna yang mengunjungi situs jahat dan kemudian ditipu untuk mengklik halaman "beberapa kali."
Namun Ormandy tetap memberi bug itu peringkat tingkat keparahan "Tinggi". Bug ini diungkapkan secara bertanggung jawab kepada LastPass sebelum dipublikasikan, dan tidak ada bukti bahwa exploit pernah digunakan di web.
Terlepas dari bug ini, menurut The Verge, menggunakan pengelola kata sandi masih merupakan langkah besar untuk dilakukan demi keamanan online Anda.
“Keberadaan bug menyoroti fakta bahwa pengelola kata sandi, seperti layanan online apa pun, masih rentan terhadap masalah keamanan. Akibatnya, merupakan ide bagus untuk menambahkan otentikasi dua faktor ke situs mana pun yang mendukungnya, bersama dengan menggunakan kata sandi unik yang kuat yang tidak pernah Anda gunakan kembali di antara layanan.”
