Eelmise aasta viimastel päevadel tõusis tehnoloogiamaailmas tähelepanu keskpunkti uus oht, mis puudutab neid, kes kasutavad Google Chrome'ile loodud teatud turva- ja muid laiendusi. Pahatahtlik häkkimine võib avada tee mitte ainult isiklike andmetele, vaid ka veebilehe halduskeskkonna kaaperdamisele, tekitades suuremaid turvariske.
27. detsembril avalikustas Bill Toulas, et vähemalt viis populaarset Chrome'i laiendust on langenud kõrgetasemelise rünnaku ohvriks, mille käigus varastatakse kasutajate tundlikke andmeid.
Kuidas rünnak toimus?
Andmekao ennetamise ettevõte Cyberhaven teatas 24. detsembril, et nende Chrome'i laiendus kompromiteeriti pärast edukat õngitsusrünnakut administraatori kontole, mis haldab Google Chrome'i plugina e-poodi. Ründaja avaldas pahatahtliku versiooni Cyberhaveni laiendusest (versioon 24.10.4), mille kood sisaldas võimalust lekitada autentimise sessioone ja küpsiseid ründaja domeenile (cyberhavenext[.]pro), vahendab Bleeping Computer.
Cyberhaveni kliendinimekiri pole just väike, nende seas on sellised tuntud nimed nagu Snowflake, Motorola, Canon, Reddit ja paljud teised.
Kui laiendust uuendati häkitud versioonile, muutusid kasutajate andmed rünnaku sihtmärgiks.
Kiired sammud aitavad ohutaset langetada
Cyberhaveni sisesed turvatiimid eemaldasid küll pahatahtliku laienduse ühe tunni jooksul, kuid selleks hetkeks oli juba päris palju kahju tehtud. Ettevõte avaldas 26. detsembril puhastatud versiooni pluginast 24.10.5 ning andis klientidele soovitusi, kuidas rünnaku mõju vähendada. Selleks soovitati järgmist.
- Uuenda laiendus kohe uusimale versioonile.
- Muuda kõik paroolid, mis pole FIDO 2 standardile vastavad.
- Uuenda kõik API tokenid.
- Kontrolli brauseri logisid kahtlase tegevuse suhtes.
Ühtlasi võiksid kasutajad, kes haldavad teisi veebikeskkondi, kontrollida ka seda, kas nende sessioonid olid samas brauseris kasutusel ning vajadusel tuleks uuendada ka neid kasutajakontosid, mis antud nakatunud brauserist kasutusel olid.
Ründajate sihtmärgiks olid ka teised laiendused
Nudge Security turvaintsidentide uurija Jaime Blasco avastas, et sarnane pahatahtlik kood lisati samal ajal ka mitmetesse teistesse Chrome'i pluginatesse:
- Internxt VPN (10 000 kasutajat)
- VPNCity (50 000 kasutajat)
- Uvoice (40 000 kasutajat)
- ParrotTalks (40 000 kasutajat)
Need laiendused olid mõeldud turvaliseks veebisirvimiseks, privaatsuse tagamiseks ja koolituseks, kuid muutusid ootamatult väravaks kasutajate andmete juurde.
Kuidas end kaitsta?
Kui kasutad mõnda nendest laiendustest, soovitatakse see kas kohe eemaldada või veenduda, et paigaldatud versioon on uuendatud pärast 26. detsembrit.
Kui sa aga pole selles kindel, siis tee järgmist:
- eemalda brauserilaiendus kohe;
- uuenda kõigi tähtsate kontode paroolid;
- tühjenda brauseri küpsised, sirvimisajalugu ja muud mällu jäänud andmed;
- taasta brauseri seaded algsesse olekusse.
Mida see tähendab veebilehe omanikele?
Kui sinu koduleht tugineb Google Chrome'i kaudu hallatavatele laiendustele, tasub olla valvas. Pahatahtlik laiendus võib avada tee mitte ainult sinu isiklikele andmete, vaid ka veebilehe halduskeskkonna ülevõtmisele, tekitades suuremaid turvariske. Kontrolli regulaarselt oma veebilehe halduskeskkonna turvalisust ja veendu, et kõik laiendused oleksid kasutatavas brauseris ajakohased.