MEGA 网盘 Chrome 插件被恶意替换,多家网站登录信息比特币私钥及明文信息泄露

2018-09-05 14:14:51 +08:00
 lp10

北京时间 9 月 4 日晚上 10 点 30 分,MEGA 网盘在 Chrome 应用商店内的插件被恶意替换。恶意插件(版本号:3.39.4 )会尝试记录包括 Amazon、Microsoft Live、Github、Google、MyEtherWallet、MyMonero 在内的网站的登录信息,并发送至 www.megaopac.host。

目前 MEGA 已重新发布原版插件(版本号:3.39.5 )。

相关报道:https://www.zdnet.com/article/mega-nz-chrome-extension-caught-stealing-passwords-cryptocurrency-private-keys/

MEGA 官方声明:https://mega.nz/blog_47

2089 次点击
所在节点    分享发现
11 条回复
lp10
2018-09-05 14:25:29 +08:00
在官方声明的最后,MEGA 看起来在尝试把锅甩给 Google。原文提到 Google 不允许插件发布者自签名让插件丧失了一层重要的保护。

然而全文只在最后一句涉及到了他们官方应用商店帐号的问题。MEGA 表示他们正在调查自己 Chrome 应用商店帐号被入侵的细节。
wangcansun
2018-09-05 15:54:00 +08:00
好久之前用过刷机的时候很多包都是 mega 上的,体验还可以
wangcansun
2018-09-05 15:54:29 +08:00
我回复上一条主要是担心楼主尴尬,然后来了个尬聊
tyrealgray
2018-09-05 16:10:36 +08:00
所以 BitDefender 以前把 MEGA 给屏蔽过是有原因的么🤔
lp10
2018-09-05 16:15:59 +08:00
@wangcansun ... >_>
lp10
2018-09-05 16:19:31 +08:00
@tyrealgray 不好说
gitChimera
2018-09-06 00:26:23 +08:00
都上两步验证应该问题不大吧…
lp10
2018-09-06 09:23:04 +08:00
@gitChimera 保险起见还是改了比较好。而且最好对着历史记录看眼有没有访问过明文 POST 密码的,这些也得改。

反正至少某些人没老老实实开 2FA,要不然商店帐号怎么被盗了(摊手
passerbytiny
2018-09-06 09:36:06 +08:00
“在安装或自动更新时,它会要求提升 MEGA 真正扩展所不需要的权限(读取并更改您访问的网站上的所有数据)”
我确定我没有受害了。
MEGA 账号被盗的锅甩不掉。
谷歌审查不严的锅也甩不掉。
passerbytiny
2018-09-06 09:38:48 +08:00
@lp10 只要确认自己没提权,就可以确认自己没安装过木马版本(扩展提权被确认前会被 chrome 临时禁用的),就啥也不用动。提过权的,不但要改掉以上网站的密码,与以上网站使用相同或近似密码的网站,全部都要改。
PERFECTCN
2018-09-06 10:27:09 +08:00
@gitChimera @lp10 是的,不过 Mega 貌似没有 2FA ?我没找到。这波之后会不会开。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/486385

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX