लास्टपास ब्राउज़र एक्सटेंशन भेद्यता का पता चला: कैसे सुरक्षित रहें

सबसे लोकप्रिय पासवर्ड प्रबंधकों में से एक लास्टपास अपने ब्राउज़र एक्सटेंशन के साथ गंभीर मुद्दों का सामना कर रहा है क्योंकि पिछले सप्ताह में सेवा के साथ कई कमजोरियां सामने आई थीं, और वे अभी भी बनी हुई हैं।

प्रौद्योगिकी कभी भी विकसित हो रही है, और हालांकि यह हमारी जीवन शैली को बढ़ाने के लिए है, कभी-कभी यह तब भी नुकसानदेह हो सकता है जब कुछ बगों का शोषण किया जाता है, खासकर जब लास्टपास जैसी सेवा, जो लाखों पासवर्डों की रक्षा करने के लिए जिम्मेदार होती है।

पिछले हफ्ते, 20 मार्च को, Google के प्रोजेक्ट ज़ीरो के एक शोधकर्ता टैविस ओरमंडी ने लास्टपास के ब्राउज़र एक्सटेंशन में दो बगों को उजागर किया था जो उपयोगकर्ताओं को दूरस्थ कोड निष्पादन के लिए असुरक्षित बनाता था।

प्रकट कमजोरियों ने सेवा के व्यवसाय और व्यक्तिगत उपयोगकर्ताओं दोनों को प्रभावित किया।

पिछले सप्ताह में कमजोरियों का पता चला?

20 मार्च: तवीस ओरमंडी को दो दूरस्थ कोड निष्पादन (आरसीई) कमजोरियां मिलती हैं जो लास्टपास के ब्राउज़र एक्सटेंशन को प्रभावित कर रही थीं - संभवतः पासवर्ड को चुराने के लिए एक हमलावर को सक्षम करना।

ओह, नया लास्टपास बग जो 4.1.42 (क्रोम और एफएफ) को प्रभावित करता है। यदि आप "बाइनरी घटक" का उपयोग करते हैं, तो आरसीई, अन्यथा पैड चुरा सकता है। रास्ते में पूरी रिपोर्ट। pic.twitter.com/y92vm3Ibxd

- तावीस ओरमंडी (@taviso) 20 मार्च, 2017

21 मार्च: लास्टपास ने ओरमंडी की रिपोर्ट को स्वीकार किया और पुष्टि की कि कमजोरियां मौजूद हैं और उनकी टीम उन्हें ठीक करने के लिए काम कर रही है।

हमें @taviso की रिपोर्ट के बारे में पता है और हमारी टीम ने एक प्रस्ताव पर काम करते समय एक समाधान डाला है। अपडेट के लिए बने रहें।

- लास्टपास (@LastPass) 21 मार्च, 2017

22 मार्च: कंपनी ने घोषणा की कि उन्होंने क्रोम (v 4.1.43) के नए संस्करण और फ़ायरफ़ॉक्स (v 4.1.36) ब्राउज़र एक्सटेंशन जारी किए हैं।

उन्होंने यह भी उल्लेख किया कि इस अवधि के बीच कोई डेटा समझौता नहीं किया गया था और उपयोगकर्ताओं को अपनी साख बदलने के बारे में चिंता करने की आवश्यकता नहीं है। Microsoft एज और ओपेरा ब्राउज़र एक्सटेंशन के अपडेट किए गए संस्करणों को लंबित कंपनी अनुमोदन जारी किया जाएगा।

25 मार्च: Tavis Ormandy ने Google Chrome ब्राउज़र एक्सटेंशन (v 4.1.43) के अपडेटेड संस्करण द्वारा सामना की गई एक और भेद्यता को उजागर किया। लास्टपास ने अपनी 22 मार्च की घोषणा के अपडेट में भेद्यता को स्वीकार किया है।

अह-हा, मुझे आज सुबह शॉवर में एक एपिफेनी था और एहसास हुआ कि लास्टपास 4.1.43 में कोडेक्सेक कैसे प्राप्त किया जाए। पूरी रिपोर्ट और रास्ते में शोषण। pic.twitter.com/vQn20D9VCy

- तावीस ओरमंडी (@taviso) 25 मार्च, 2017

27 मार्च: लास्टपास ने एक बयान जारी किया, “हम सक्रिय रूप से भेद्यता को संबोधित नहीं कर रहे हैं। यह हमला अद्वितीय और अत्यधिक परिष्कृत है। हम भेद्यता या हमारे फिक्स के बारे में कुछ भी बताना नहीं चाहते हैं जो कम परिष्कृत लेकिन दकियानूसी दलों को कुछ भी बता सकता है। ”

कैसे रहें सुरक्षित?

वर्तमान में, लास्टपास ने पुष्टि की है कि यह उनकी सेवा के साथ सुरक्षा मुद्दों को ठीक करने के लिए काम कर रहा है और जल्द ही एक पूर्ण सुधार की उम्मीद की जा सकती है। इस बीच, यह LastPass उपयोगकर्ताओं के लिए निम्न सावधानियों पर ध्यान देने के लिए अनुशंसित है।

• अपने लॉगिन क्रेडेंशियल को सुरक्षित रखने के लिए, उपयोगकर्ताओं को इस बीच ब्राउज़र एक्सटेंशन को अक्षम करने और वेबसाइट को सीधे लास्टपास वॉल्ट से लॉन्च करने की सिफारिश की जाती है जब तक कि कमजोरियों को कंपनी द्वारा हल नहीं किया जाता है।
• विकल्प की पेशकश करने वाले सभी खातों के लिए टू-फैक्टर ऑथेंटिकेशन चालू करें, किसी हमलावर द्वारा शोषण होने की स्थिति में आपके खाते को सुरक्षा की एक अतिरिक्त परत प्रदान करता है।
• फ़िशिंग हमलों की तलाश में रहें। अविश्वसनीय स्रोतों से लिंक पर क्लिक न करें - वे लोग जिन्हें आप नहीं जानते हैं

लास्टपास के विकल्प की तलाश है? यहां शीर्ष 3 विकल्प देखें।