Het cloudopslagplatform Mega is op 4 september slachtoffer geworden van een trojan-aanval, waarbij de Chrome extensie van het platform voor korte tijd allerlei gegevens doorspeelde aan hackers.

Mega heeft, nadat de melding gedaan werd van het lek door security researcher SerHack op Twitter, zelf zijn klanten op de hoogte gesteld van de breuk en snel gehandeld. Hierdoor heeft de trojan versie van de extensie slechts 5 uur online gestaan. Chrome heeft zelf de extensie uit hun Web Store verwijderd en hem op inactief gezet voor gebruikers, waarna de gehackte extensie vervangen werd door de legitieme, gepatchte versie.

Desalniettemin is de app veelvuldig gedownload door mensen die de auto-update functionaliteit aan hadden staan en bij het openen van de app toestemming hadden gegeven voor aangepaste permissies. Hierdoor werden inlog- en accountgegevens van veel websites uitgelezen, waaronder Github, live.com, google.com en amazon.com. Daarnaast werden private keys voor cryptocurrency accounts uitgelezen.

Ook las de app plain-text POST requests uit. Een POST request wordt gebruikt om data te versturen van een website naar een server en kan bijvoorbeeld gegevens bevatten als inloggegevens of de gegevens die zijn ingevuld op webformulieren, wanneer hier geen bescherming voor is opgezet. Security researcher SerHack ontdekte het lek en postte meerdere screenshots op Twitter. Uit deze screenshots was ook op te maken dat de afgevangen data werd verstuurd naar een server die in Roemenië gehost bleek te zijn.

Wat kunt u doen?

Wanneer u gebruik maakt van de Chrome extensie van Mega en uw extensie automatisch laat updaten, is het belangrijk zo snel mogelijk de laatste patch te installeren. Deze is beschikbaar via Mega zelf en via de Chrome Web Store. Mega waarschuwt echter wel dat het goed mogelijk is dat er wachtwoorden in verkeerde handen zijn gevallen. Het bedrijf adviseert om na te gaan welke wachtwoorden dit kunnen zijn en ze zo snel mogelijk te wijzigen.

Mega legt zelf de schuld bij Google. Chrome heeft ervoor gekozen om extensies alleen te ondertekenen bij het uploaden naar de Web Store. In tegenstelling tot andere app-platformen laat Chrome niet langer gebruik maken van signing door applicatie-bouwers zelf. Hierdoor ontbreekt er volgens Mega een belangrijke security-barrière. Daarnaast heeft Mega onderzoek gepleegd en de conclusie weten te trekken dat alleen de Chrome extensie getroffen is. De Firefox extensie, MEGAsync, en de mobiele apps zijn niet in gevaar geweest.

Als u als gebruiker van Mega zeker wilt weten dat uw gegevens veilig zijn, is het verstandig om uw wachtwoorden te wijzigen en, wanneer mogelijk, alsnog gebruik te maken van tweestapsauthenticatie.

Lees relevante artikelen

Categorie  SSL & Security Vulnerability of the Month | Tags  Security VOTM vulnerability