För drygt en vecka sedan så fick jag se ett ”proof of concept” som var lite skrämmande. Det var en vän som jobbar inom datasäkerhet som visade hur enkelt det är, via ett enkelt program, att exportera alla lösenord och inloggningar som är lagrade i Google Chrome. När man gjort detta så kan man exempelvis lägga dessa på en USB sticka, skicka vidare eller något annat kreativt.
Programmet som behövs för att utföra detta ”hack” är helt gratis och går att ladda hem från en officiell hemsida, vilket är ännu mer skrämmande. Det är tydligen inte varken nytt eller ovanligt, enligt min vän. Det har tydligen fungerat ända sedan Google började spara lösenord i Chrome.
Till en början trodde jag inte på detta, så jag satte upp en separat-dator att testa på. Jag fick då bevis på att det verkligen fungerar. Dessutom så fungerar det så bra att många tjänster behövde jag inte ens logga in på igen, vilket är ännu mer skrämmande. Programmet lagrade och klonade alla cookies och inloggningsinformationen så bra att hemsidorna helt enkelt trodde att det var samma dator och användare som besökte sidan igen.
Om vi fortfarande talar om bristande säkerhet på ens konto, eller om det är tjänsterna i fråga som är så dumma att dom inte kollar om det är en annan dator som loggar på, det vet jag inte. Det jag vet är att det fungerar snabbt, enkelt och helt utan någon som helst kunskap om ”hacking” eller liknande.
Jag känner mig lite naiv då jag var övertygad att en sådan handling inte skulle vara möjlig att genomföra utan en massa lösenordsgodkännanden, avkryptering och säkerhetsfrågor… Så är det inte. Starta programmet och svara ”JA” på en fråga. 2 sekunder senare så har man alla inloggningar och lösenord som lagrats i den datorn, så länge den har Chrome installerat. Det räcker med andra ord att man springer och hämtar kaffe på jobbet så kan någon gå förbi och klona alla lösenord på datorn innan man ens hinner fylla sin kopp.
Skrämmande tanke.
Det finns säkert tusentals människor som redan nu känner till detta program. Men jag var lyckligt ovetande tills för en vecka sedan. Frågan man ska ställa sig är dock varför detta är möjligt? Hur kan ens privata uppgifter vara så oskyddade? Jag har inget svar på detta, just nu, men jag insåg direkt att det nog är dags för mig att tömma lösenorden från Chrome/Google och inte lagra dom där längre.
Jag har inte hittat något liknande program som kan göra samma stöld på Apple Safari, men samtidigt har jag inte sökt specifikt efter detta i någon större utsträckning. Jag tror dock att säkerheten är lite bättre hos Apple. I alla fall vill jag tro det. Jag kan som sagt bara spekulera om detta i dagsläget.
Idag har jag rensat bort alla lagrade lösenord hos Google, jag har också avinstallerat Chrome och installerat Firefox på mina Windows datorer istället. Om detta är en bättre lösning vet jag inte, troligen inte. Men nu gäller det att bli av med Google Chrome i första hand. Sen ska jag vara noga med att inte lagra lösenord i framtiden, helt enkelt.
Jag sitter och funderar om det är värt att ha kvar Google kontot alls, så vi får se om jag kanske lägger ned och börjar om på YouTube med ett nytt konto istället. Jag har inte bestämt mig än.
Det är skrämmande att ju mer man får veta, desto mer förstår man att man inte vet eller förstår. Men, babysteg är det som gäller. Till slut ska nog min information vara min igen, kan man inbilla sig. =)
Ha en riktigt bra dag så hörs vi snart igen.