Pelo menos cinco extensões do Chrome foram comprometidas num ataque que inseriu código malicioso destinado a roubar dados dos utilizadores. A violação foi inicialmente reportada pela Cyberhaven, uma empresa de prevenção de perda de dados, após a sua conta na Chrome Web Store ter sido acedida por um hacker que conseguiu o acesso através de um ataque de phishing. Entre os clientes afectados da Cyberhaven estão grandes empresas como Snowflake, Reddit e Canon.
O atacante utilizou a conta comprometida para carregar uma versão maliciosa (24.10.4) da extensão Cyberhaven Chrome, que incluía código capaz de extrair sessões autenticadas e cookies, enviando-os para um domínio fraudulento. A equipa interna da Cyberhaven respondeu rapidamente, removendo a extensão comprometida numa hora e lançando uma versão limpa (v24.10.5) pouco tempo depois. A empresa recomendou aos utilizadores que não só actualizassem a extensão, como também alterassem todas as passwords e API tokens, mantendo a vigilância para potenciais actividades suspeitas.
Este ataque só vem demonstrar, uma vez mais, como os hackers invariavelmente se focam nos elos mais fracos e de maior eficiência para os ataques. Neste caso, aproveitando o que supostamente seria uma extensão de um serviço de segurança, para atacar precisamente esses clientes. Mas o mesmo se aplica a toda e qualquer extensão que se usa num browser, sendo por isso recomendável que apenas se usem extensões que sejam de uso indispensável, e preferencialmente, de modo a que tenham o mínimo de acesso possível (por exemplo, é possível configurar as extensões para que só fiquem activas quando se clica nelas ou para sites específicos).
Sem comentários:
Enviar um comentário (problemas a comentar?)