Internet-palvelujen salasanasuojaus on uutinen, eikä sen pitäisi olla. Joitakin viimeaikaisia esimerkkejä on oletettu hakkerointi tuhansia iCloud-tilejä, muuten uskottavuudella tai satoja Evernote- tai Dropbox-salasanoja. Paras suositus odottamattomien tapahtumien välttämiseksi on vaihtaa palvelujemme salasanat jonkin verran.
Viime viikonloppuna salasanapalvelu LastPass, löysi haavoittuvuuden järjestelmästäsi. On arvostettua, että tunnustat ongelman ja varoitat käyttäjiä toimenpiteillä suuremman pahan estämiseksi. Toisinaan olemme oppineet näistä epäonnistumisista kolmansilta osapuolilta, eikä tämän pitäisi tapahtua.
LastPass suosittelee tiettyjen varotoimenpiteiden noudattamista työskennellessään haavoittuvuuden lopullisen sulkemisen parissa. Jotkut suositukset ovat yleisiä, ja siksi kaikkien LastPass-palvelun tai muun palvelun käyttäjien tulee ottaa huomioon. Erityisesti yksi on suunniteltu estämään havaittu haavoittuvuus vaikuttamasta sen käyttäjiin. Yritys suosittelee, että noudatat näitä vaiheita:
Käytä LastPass-holvia aloitusalustana (eli aloita palvelu suoraan LastPass-holvista). Tämä on turvallisin tapa käyttää kirjautumistietojasi ja sivustojasi, kunnes tämä heikkous on korjattu.
Tutkittuaan haavoittuvuuden alkuperän yritys paljastaa yksityiskohdat ja vasta sitten ilmoittaa, että haavoittuvuus on kokonaan suljettu. Toistaiseksi tiedetään, että hyökkäys on käyttänyt erittäin hienostunutta järjestelmää.
Alkuperä näyttää olevan selaimessa Google Chrome mutta toista merkintää ei ole suljettu pois. Uutiset ilmoitti Google-analyytikko. Yritys julkisti hyökkäyksen seuraavalla huomautuksella:
Viikonloppuna Googlen tietoturvatutkija Tavis ormandy ilmoitti uudesta asiakashaavoittuvuudesta palvelulaajennuksessa LastPass. Käsittelemme nyt aktiivisesti haavoittuvuutta. Tämä hyökkäys on ainutlaatuinen ja erittäin hienostunut. Emme halua paljastaa jotain erityistä haavoittuvuudesta tai ratkaisustamme, joka voi paljastaa tutkimuksia, joilla on vakavia seurauksia.