महीने की शुरुआत में हमने हर जगह साइबर सुरक्षा विशेषज्ञों को वॉल्ट 7 लीक के बारे में हथियारों में देखा, जहां सीआईए द्वारा हैकिंग टूल से लेकर "मेम मैजिक" की खोज तक सब कुछ दुनिया के देखने के लिए विकीलीक्स पर डंप कर दिया गया था।
बमुश्किल कुछ सप्ताह बीत चुके हैं, और मार्च अभी भी एक एक्शन से भरपूर महीना बना हुआ है क्योंकि लास्टपास के ब्राउज़र एक्सटेंशन में बग हैकर्स को बिना सोचे-समझे उपयोगकर्ताओं से पासवर्ड हथियाने की अनुमति देंगे।
द बग्स
लास्टपास के Google क्रोम एक्सटेंशन में एक बग की खोज सोमवार को Google के प्रोजेक्ट ज़ीरो के सदस्य टैविस ऑरमैंडी ने की। पहला बग - जो हैकर्स को उस सर्वर से आपके कंप्यूटर के संचार को हाईजैक करते समय कोड में लिखने की अनुमति देता है जिसमें आप लॉग इन कर रहे हैं और आपके पासवर्ड तक पहुंच प्राप्त कर सकते हैं - इस रिपोर्ट में पाया जा सकता है जिसमें उसका प्रूफ-ऑफ-कॉन्सेप्ट कोड भी होता है, यदि आप ' फिर से दिलचस्पी है।
Ormandy द्वारा पाया गया दूसरा बग LastPass के Firefox एक्सटेंशन संस्करण 3.3.2 (पुराना, लेकिन अभी भी बहुत लोकप्रिय) में था। यह हैकर्स को अलर्ट के माध्यम से उपयोगकर्ता के पासवर्ड को प्रकट करने के लिए एक सार्वभौमिक क्रॉस-साइट स्क्रिप्ट निष्पादित करने की अनुमति देता है।
मंगलवार को LastPass ने प्रमाणीकरण जानकारी को स्थानांतरित करने के लिए जिम्मेदार आंतरिक सेवा डोमेन को गैर-मौजूद (जैसे NXDOMAIN-ing) बना दिया, जबकि उन्होंने समस्या की जांच की, फिर बुधवार को एक घोषणा पोस्ट की कि उन्होंने क्रोम एक्सटेंशन में मुद्दों को ठीक कर दिया है।
जहां तक फ़ायरफ़ॉक्स एक्सटेंशन का सवाल था, उन्होंने इसे वैसे ही छोड़ दिया क्योंकि 3.x संस्करण शाखा वैसे भी अप्रैल में सेवानिवृत्त हो जाएगी। स्पष्ट होने के लिए, यह आरोप नहीं है। उन्होंने अपनी घोषणा में इसे खुले तौर पर कहा है:"इस बग की सूचना पिछले साल हमारी टीम को दी गई थी और उस समय इसे ठीक कर दिया गया था। हालांकि, सुधार को हमारी विरासती Firefox 3.3.x शाखा में धकेला नहीं गया था; इस शाखा को अप्रैल में औपचारिक सेवानिवृत्ति के लिए निर्धारित किया गया है। "
आपको क्या करना चाहिए
यदि आप LastPass की सेवाओं का उपयोग करते हैं, तो मैं दृढ़ता से यह सुनिश्चित करने का सुझाव देता हूं कि आपके ब्राउज़र एक्सटेंशन यथासंभव अद्यतित हैं। इसके अलावा, इसके बारे में चिंतित होने के लिए तत्काल कोई खतरा नहीं है। सामान्य तौर पर, आपको इसे अपने सभी एक्सटेंशन के साथ करना चाहिए। डिफ़ॉल्ट रूप से, क्रोम और फ़ायरफ़ॉक्स दोनों ही आपके लिए ये अपडेट करेंगे, इसलिए यदि आपने ऑप्ट आउट किया है, तो शायद अब इस पर दोबारा विचार करने का एक अच्छा समय है।
एक बड़ी चिंता है, हालांकि...
यह कहना निश्चित रूप से आज के तकनीकी उद्योग के माहौल में किसी को नहीं जीतेगा, लेकिन यह कहना होगा:सुविधा और सुरक्षा आमतौर पर हैं एक द्विभाजन। हमारे सबसे उत्साही टिप्पणीकारों में से एक ने पहले भी इसी तरह का बयान दिया था जब हमने CIA के Vault 7 के लीक होने की सूचना दी थी।
जैसे-जैसे हम अपने द्वारा उपयोग की जाने वाली तकनीक के साथ अधिक घनिष्ठ होते जाते हैं (जैसे हमारे पासवर्ड, हमारी व्यक्तिगत जानकारी आदि साझा करना), हम प्रभावी रूप से हैकर्स को हमसे समझौता करने का एक और तरीका दे रहे हैं। उल्लंघन इसलिए होते हैं क्योंकि हम प्रौद्योगिकियों पर खुले तौर पर भरोसा करते हैं, इससे पहले कि हम खुद से पूछें कि क्या वे हमें नुकसान से बचाने में सक्षम हैं।
लास्टपास एक ऐसी सेवा है जो यह सुनिश्चित करने के लिए हर संभव कोशिश करती है कि इसके उपयोगकर्ता अपने पासवर्ड के साथ इस पर भरोसा कर सकें - उनके ऑनलाइन अस्तित्व की कुंजी। लेकिन उनके प्रति पूरे सम्मान के साथ, हमें खुद से पूछना होगा:क्या होगा अगर एक दिन हम इतने भाग्यशाली नहीं होते कि बग को शोषण से पहले ठीक किया जा सके? क्या होगा यदि एप्लिकेशन कोड में कोई अप्रत्याशित समस्या किसी हैकर को अंदर जाने और आपकी सभी जानकारी को खुले में देखने की अनुमति देती है?
लास्टपास में घुसपैठ पहले भी हो चुकी है, सबसे हाल ही में 2015 में। उसके बाद, जुलाई 2016 को, एक अधिक उदार हैकर ने एक बग प्रकट करने का फैसला किया जिसका जनता के लिए शोषण किया जा सकता है।
यहाँ विचार यह है कि आपको कभी भी आत्मसंतुष्ट नहीं होना चाहिए। निश्चित रूप से, इनमें से बहुत से कारनामों को जितना होना चाहिए, उससे थोड़ा अधिक सम्मोहित किया जाता है। लेकिन आपको इस तथ्य से अवगत होना चाहिए कि जब भी आप किसी सेवा के लिए कुछ व्यक्तिगत देते हैं तो आप खतरनाक क्षेत्र में चल रहे होते हैं। कभी-कभी लाभ जोखिम से अधिक होता है, लेकिन आप यह निर्णय तभी ले सकते हैं जब आपको इस बात की पूरी जानकारी हो जाए कि आप किसके लिए साइन अप कर रहे हैं।
क्या आप पासवर्ड मैनेजर का उपयोग करते हैं? आप जिस सेवा का उपयोग कर रहे हैं, उसके उल्लंघन की संभावना के बारे में आप कैसा महसूस करते हैं? हमें कमेंट में बताएं!