MEGA 网盘 Chrome 插件被恶意替换,多家网站登录信息比特币私钥及明文信息泄露
lp10 · 2018-09-05 14:14:51 +08:00 · 2226 次点击这是一个创建于 2256 天前的主题,其中的信息可能已经有所发展或是发生改变。
北京时间 9 月 4 日晚上 10 点 30 分,MEGA 网盘在 Chrome 应用商店内的插件被恶意替换。恶意插件(版本号:3.39.4 )会尝试记录包括 Amazon、Microsoft Live、Github、Google、MyEtherWallet、MyMonero 在内的网站的登录信息,并发送至 www.megaopac.host。
目前 MEGA 已重新发布原版插件(版本号:3.39.5 )。
MEGA 官方声明:https://mega.nz/blog_47
 |
1
lp10 OP 在官方声明的最后,MEGA 看起来在尝试把锅甩给 Google。原文提到 Google 不允许插件发布者自签名让插件丧失了一层重要的保护。
然而全文只在最后一句涉及到了他们官方应用商店帐号的问题。MEGA 表示他们正在调查自己 Chrome 应用商店帐号被入侵的细节。 |
 |
2
wangcansun 2018-09-05 15:54:00 +08:00
好久之前用过刷机的时候很多包都是 mega 上的,体验还可以
|
|
3
wangcansun 2018-09-05 15:54:29 +08:00  2
我回复上一条主要是担心楼主尴尬,然后来了个尬聊
|
 |
4
tyrealgray 2018-09-05 16:10:36 +08:00
所以 BitDefender 以前把 MEGA 给屏蔽过是有原因的么🤔
|
|
5
lp10 OP @wangcansun ... >_>
|
|
6
lp10 OP @tyrealgray 不好说
|
 |
7
gitChimera 2018-09-06 00:26:23 +08:00 via Android
都上两步验证应该问题不大吧…
|
|
8
lp10 OP |
 |
9
passerbytiny 2018-09-06 09:36:06 +08:00
“在安装或自动更新时,它会要求提升 MEGA 真正扩展所不需要的权限(读取并更改您访问的网站上的所有数据)”
我确定我没有受害了。 MEGA 账号被盗的锅甩不掉。 谷歌审查不严的锅也甩不掉。 |
|
10
passerbytiny 2018-09-06 09:38:48 +08:00
@lp10 只要确认自己没提权,就可以确认自己没安装过木马版本(扩展提权被确认前会被 chrome 临时禁用的),就啥也不用动。提过权的,不但要改掉以上网站的密码,与以上网站使用相同或近似密码的网站,全部都要改。
|
 |
11
PERFECTCN 2018-09-06 10:27:09 +08:00
@gitChimera @lp10 是的,不过 Mega 貌似没有 2FA ?我没找到。这波之后会不会开。。
|
Select Language