Mengingat semua kata sandi Anda ke semua akun online Anda adalah hal yang menantang dan inilah mengapa pengelola kata sandi seperti LastPass, Dashlane, dan 1Password ada. Tetapi basis data nama pengguna dan sandi terenkripsi yang sangat besar ini merupakan target utama bagi para penjahat dan banyak dari program tersebut telah mengalami pelanggaran.
Minggu ini, pengelola kata sandi gratis KeePass mengumumkan di situsnya bahwa kerentanan ada dalam perangkat lunaknya dan peretas dapat mengirim pembaruan perangkat lunak palsu yang berisi malware kepada pengguna dengan menyamar sebagai perangkat lunak KeePass yang baru. KeePass menggunakan Hypertext Transfer Protocol (HTTP) yang tidak terenkripsi alih-alih HTTPS versi aman. (Jika Anda tidak tahu apa itu HTTP dan HTTPS, lihat URL halaman ini. HTTPS adalah protokol yang menampung data yang dikirim antara browser Internet dan situs web. HTTPS aman dan mengotentikasi setiap situs web dan server untuk membuat yakin situs jahat tidak menyamar sebagai situs yang sah.)
Peneliti keamanan Florian Bogner memberi tahu LifeHacker bahwa karena KeePass menggunakan HTTP untuk pembaruan perangkat lunak, penjahat dapat membuat pembaruan palsu yang dibubuhi perangkat lunak berbahaya.
KeePass menjelaskan di situsnya:
File informasi versi diunduh dari situs web KeePass melalui HTTP. Jadi seorang pria di tengah (seseorang yang dapat mencegat koneksi Anda ke situs web KeePass) bisa saja mengembalikan file informasi versi yang salah, mungkin membuat KeePass menampilkan pemberitahuan bahwa versi KeePass yang baru telah tersedia.
KeePass mengatakan hanya karena seorang peretas mengirimi Anda pembaruan palsu dengan malware di dalamnya, tidak berarti serangan itu bergerak karena KeePass tidak meng-host pembaruan otomatis. Pengguna KeePass harus mengunduh versi baru secara manual. KeePass mengatakan pengguna harus memeriksa tanda tangan digital dan jika ada malware, jangan mengunduhnya.
Untuk informasi lebih lanjut tentang cara memeriksa tanda tangan digital, tonton video Bogner di bawah ini:
