Gekaapte Mega-extensie voor Chrome onderschepte logins populaire sites

Mega extension logopng De Chrome-extensie voor de opslagdienst Mega was tijdelijk overgenomen door kwaadwillenden, die een aangepaste versie in de Chrome Store uploadden. Daarvoor waarschuwt Mega. De extensie onderschepte logins voor populaire diensten, zoals GitHub en Amazon.

In een eigen waarschuwing meldt Mega dat er op 4 september een onbekende partij een trojanized versie van de extensie in de Chrome Store heeft gezet door het Store-account van het bedrijf over te nemen. Die versie had nummer 3.39.4 en vroeg om permissie voor het lezen van alle gegevens op bezochte sites. Volgens het bedrijf heeft het deze kwaadaardige versie 'binnen enkele uren' vervangen door een gepatchte versie met nummer 3.39.5. Het waarschuwt dat de kwaadaardige extensie logins onderschepte op github.com, amazon.com, live.com, google.com, myetherwallet.com, mymonero.com en idex.market. Ook onderschepte de software HTTP POST-verzoeken op andere sites en stuurde de opgevangen gegevens door naar een server in Oekraïne.

Inmiddels heeft Google de extensie uit de Chrome Store verwijderd. Mega waarschuwt dat mensen die auto-update aan hadden staan en de nieuwe permissies hebben goedgekeurd, of mensen die de kwaadaardige versie direct installeerden, ervan moeten uitgaan dat de logins van bezochte sites in de tijd dat de extensie actief was als compromised beschouwd moeten worden. Het is daarom aan te raden na te gaan welke sites dit zijn en de wachtwoorden aan te passen. In het geval van niet-unieke wachtwoorden is het ook verstandig deze op de andere sites aan te passen. Op de sites voor cryptovaluta is het wellicht verstandig om tegoeden naar een ander account over te zetten. De kwaadaardige extensie was ook uit op privésleutels.

Volgens Mega is de Firefox-extensie niet getroffen, hetzelfde zou voor MegaSync en de mega.nz-site gelden. Beveiligingsonderzoeker SerHack waarschuwde dinsdagavond dat de extensie is overgenomen en publiceerde afbeeldingen van de kwaadaardige code. Het is niet de eerste keer dat een overgenomen account wordt gebruikt om een kwaadaardige versie van een browserextensie te verspreiden. Dat gebeurde vorig jaar bijvoorbeeld bij de extensie Web Developer en recentelijk bij Hola VPN.

Mega werd in 2013 opgericht door Kim DotCom als opvolger voor filelockerdienst Megaupload. In 2015 verbrak hij zijn banden met Mega en stelde hij in een interview met Slashdot dat de data van gebruikers bij die dienst niet meer veilig is. Mega weersprak dit.