Δύο Chrome extensions μετατράπηκαν σε adware μετά από παραβίαση των λογαριασμών των δημιουργών τους μέσω phishing

[nnn]

Τις τελευταίες 5 ημέρες, 2 λογαριασμοί developers του Google Chrome Web Store, έπεσαν θύματα παραβίασης μέσω επιθέσεων phishing, με αποτέλεσμα να προωθήσουν κακόβουλα updates στους χρήστες των extension του Chrome.

Τα επηρεαζόμενα extensions είναι το Web Developer και το Copy Fish και σύμφωνα με τους ισχυρισμούς των developers τους, οι "πειραγμένες" εκδόσεις απλά ΄σέρβιραν διαφημίσεις στα sites που επισκέπτονταν οι χρήστες τους.

Σύμφωνα με την A9t9 Software, δημιουργό του Copy Fish, ο λογαριασμός που διαχειρίζεται το extension στο Chrome Web Store δεν προστατευόταν με two-factor authentication (που δίνει δωρεάν η Google) και η παραβίαση του έγινε όταν ένας εργαζόμενος της έβαλε τα credentials σε phoney email που νόμιζε πως προερχόταν από την Google.

Από την πλευρά του ο Chris Pederick που αναπτύσει το Web Developer, δεν έδωσε λεπτομέρειες πέρα από το ότι και ο δικός του λογαριασμός έπεσε θύμα phishing.

Πηγή : Arstechnica

[shocked]

[eyw]

Καμιά εκτίμηση για τι λεφτά κερδήθηκαν από το σερβίρισμα?
Αν τα δώσουν στην εκκλησία, AMD, συσσίτια, αφρικές κλπ τότε συγχωρούνται, αλλιώς προφάσεις εν αμαρτίαις και στο πυρ το εξώτερον.

[George98]

Mozilla και Opera μόνο

[aiolos.01]

Το πρόβλημα δεν είναι η παραβίαση που συμβαίνει παντού αλλά το οτι πολύ συχνά πετυχημένα addons αγοράζονται απο spammers που τα μετατρέπουν σε spyware/adware χωρίς φυσικά να αναφέρουν τίποτα στη σελίδα του addon.

[slow]

Developers και δεν χρησιμοποιούν τα στοιχειώδη μέτρα ασφαλείας στους λογαριασμούς τους ή δεν πρόσεξαν και έπεσαν θύματα phishing???
Και έπειτα κατηγορούμε τους άσχετους ότι κολλάνε μαμούνια επειδή δεν προσέχουν τι ανοίγουν-κατεβάζουν και τα στέλνουν σε όλους μας...

[Gio Alex]

Developers και δεν χρησιμοποιούν τα στοιχειώδη μέτρα ασφαλείας στους λογαριασμούς τους ή δεν πρόσεξαν και έπεσαν θύματα phishing???
Και έπειτα κατηγορούμε τους άσχετους ότι κολλάνε μαμούνια επειδή δεν προσέχουν τι ανοίγουν-κατεβάζουν και τα στέλνουν σε όλους μας...

Α γειά σου... Το πρώτο πράγμα που σκέφτηκα και εγώ... Αν αυτοί που είναι στα "μέσα" της τεχνολογίας δεν ακολουθούν κάποιους στοιχειώδης κανόνες ασφαλείας, τότε τι να περιμένεις από τους καθημερινούς "άσχετους" ανθρώπους.

[Moho]

Το ίδιο "ατύχημα" είχε πάθει τον περασμένο μήνα και το add-on Social Fixer for Facebook (http://socialfixer.com)

[turboirc]

Α γειά σου... Το πρώτο πράγμα που σκέφτηκα και εγώ... Αν αυτοί που είναι στα "μέσα" της τεχνολογίας δεν ακολουθούν κάποιους στοιχειώδης κανόνες ασφαλείας, τότε τι να περιμένεις από τους καθημερινούς "άσχετους" ανθρώπους.

Η παρατήρηση αυτή είναι εντελώς άκυρη στατιστικά.

Τίποτα δεν περιμένεις. Η διαφορά είναι στο επίπεδο βλακείας. Ένας developer έχει περισσότερο μυαλό, άρα λιγότερες πιθανότητες (αλλά όχι μηδενικές) για να την πατήσει, άρα θα πληρώσει λιγότερα.

Είναι όπως ένας μεγάλος σκακιστής που θα κάνει ένα τεράστιο λάθος σε δέκα παρτίδες, ενώ ένας άσχετος θα κάνει δέκα τεράστια λάθη σε μια παρτίδα. Είναι όπως όταν πέφτει ένα αεροπλάνο και γίνεται αμέσως θέμα ενώ χιλιάδες τροχαία κάθε μέρα περνάνε ντούκου.

Οι εφημερίδες όμως θα γράψουν για το μεγάλο λάθος του έμπειρου πρωταθλητή, όχι για τα χιλιάδες λάθη του κάθε άσχετου.

Το ίδιο και εδώ, ενας developer έκανε ένα σοβαρό λάθος και έγινε θέμα.

Ένας άσχετος μια ζωή θα την πατάει και θα πληρώνει περισσότερα. Πράγμα που αυξάνει εκθετικά.Και καμία είδηση δεν θα τον γράψει ποτέ. Απλά θα πληρώσει χωρίς να βγάλει κιχ.

[Tzitziloni]

Α γειά σου... Το πρώτο πράγμα που σκέφτηκα και εγώ... Αν αυτοί που είναι στα "μέσα" της τεχνολογίας δεν ακολουθούν κάποιους στοιχειώδης κανόνες ασφαλείας, τότε τι να περιμένεις από τους καθημερινούς "άσχετους" ανθρώπους.

Θα συμφωνήσω με τον @turboirc. Μάλιστα, ίσως να συμβαίνει και το ανάποδο ακριβώς. Οι developers και programmers δεκάρα δεν δίνουν για κάποια πράγματα που θεωρούνται must για τους απλούς χρήστες. Οι developers δεν χρειάζονται καν antivirus (sic) Προστατεύονται κυρίως από την εμπειρία τους ως προς την συμπεριφορά των συστημάτων. Ενας programmer θα πάρει πολύ γρήγορα/γρηγορότερα χαμπάρι οτι κάτι δεν πάει καλά. Επίσης, οι περισσοτεροι από αυτούς δεν χρησιμοποιούν καν τις συνηθισμένες εφαρμογές/sites/δίκτυα/πρωτόκολλα/μεθόδους που χρησιμοποιούν οι απλοί χρήστες (ή για να είμαστε ακριβείς, που *αναγκάζονται* να χρησιμοποιήσουν). Υπάρχουν πάρα πολλοί developers που δεν έχουν καν smartphone ή αν έχουν το χρησιμοποιούν ως feature phone Έτσι, στατιστικά μπορεί να ανήκουν στις λιγότερο ευπαθείς ομάδες αλλά η πολύ σιγουριά βλάπτει, το λέει και η παροιμία.

[turboirc]

Όσον αφορά στις παρατηρήσεις σου για το antivirus, δεν είναι ανάγκη να είσαι προγραμματιστής για να είναι άχρηστο.

Όσον αφορά τα πρωτόκολλα ασφαλείας, όλοι τα ίδια χρησιμοποιούμε. Κανένας σοβαρός developer δεν θα φτιάξει δικό του αλγόριθμο κρυπτογράφησης, για παράδειγμα. Η διαφορά με τον απλό χρήστη είναι ότι π.χ. Θα του πούνε ότι τώρα ξέρεις το Facebook χρησιμοποιεί end to end encryption με diffie bellman οπότε είσαι ασφαλής, και θα το πιστέψει, επειδή δεν μπορεί να κάνει αλλιώς, άσχετα αν υπάρχει ένα ωραιότατο man in the middle που τα αρπάζει όλα. Ο προγραμματιστής θα χρησιμοποιήσει το ίδιο σύστημα (DH) αλλά με τον δικό του κώδικα ωστε να είναι σίγουρος.

Τέλος, ασφαλώς η πολύ σιγουριά βλάπτει, για αυτό και κάνεις backup, backup, backup...