Mega, den krypterte fildelingstjenesten startet av Kim Dotcom, opplevde noe veldig skremmende. Dvs.: brukerne gjorde.
Lastet opp trojaner-versjon
Det er Chrome-utvidelsen som var berørt av et svært alvorlig sikkerhetshull: utvidelsen ble oppdatert og byttet ut med en utgave med farlig kode som hadde som hensikt å stjele brukernavn og passord, samt private nøkler for kryptovaluta-lommebøker.
Mega avslører på egen blogg at opplastingen som ble gjort av den enda ikke avslørte hackeren, ble utført i går 14:30 UTC. Versjonen med trojaneren har versjonsnummer 3.39.4.
Rettet etter fire timer
Fire timer etter at den farlige opplastingen ble gjort, erstattet Mega trojaner-versjonen med sin egen trygge. Den korrekte versjonen er 3.39.5. Google fjernet utvidelsen fra markedsplassen etter fem timer.
Annonse
Trojaneren ba om tillatelser til systemet den offisielle ikke gjorde. Ga du den ikke ekstra tillatelser, er du altså trygg. Auto-oppdatering til den nye versjonen var også i effekt.
Lastet du ned 3.39.4 og ga den alle tillatelser, må du skifte passord ASAP
Merk at trojaneren også prøvde å hente ut brukernavn og passord fra sider som amazon.com, live.com, github.com, google.com, myetherwallet.com, mymonero.com, idex.market og HTTP POST-koblinger til andre nettsider, og videre til en server i Ukraina.
Mega påpeker at Mega.nz påloggingsinformasjon ikke ble hentet ut.
Tjenesten unnskylder etter det alvorlige sikkerhetsproblemet, men legger også delvis skyld på Google som har for dårlige sikkerhetsrutiner:
“Dessverre besluttet Google å stoppe med distributør-signaturer på Chrome-utvidelser, og signerer dem nå kun automatisk etter opplasting til Chrome-nettbutikken. Dette fjerner en viktig sikkerhetsbarriere for å stoppe ekstern-hacking”.
Kilde:
Mega
Annonse