I början av månaden såg vi cybersäkerhetsexperter överallt upp i vapen om Vault 7 läckor där allt från hackingsverktyg från CIA till deras utforskning av "meme magic" dumpades på WikiLeaks för världen att se.

Nästan några veckor har gått, och mars fortsätter att vara en actionfylld månad eftersom buggar i LastPass-webbläsartillägg gör att hackare kan ta tag i lösenord från intet ont anande användare.

Buggarna

En bugg i LastPass 'Google Chrome-förlängning upptäcktes av Tavis Ormandy, en medlem av Googles Project Zero, på måndag. Den första buggen - som tillåter hackare att skriva in kod medan du kapar datorns kommunikation med servern som du loggar in och får tillgång till dina lösenord - finns i denna rapport som även innehåller sin proof of concept-kod om du " är intresserad.

Den andra buggen som hittades av Ormandy var i LastPass 'Firefox-version 3.3.2 (äldre men fortfarande mycket populär). Det tillåter hackare att utföra ett universellt cross-site-skript för att avslöja användarens lösenord genom varningar.

På tisdagen gjorde LastPass den interna tjänste domänen som ansvarar för att överföra autentiseringsinformation förefaller obefintlig (t.ex. NXDOMAIN-ing) medan de undersökte problemet och skickade sedan ett meddelande till onsdagen som sa att de fixade problemen i Chrome-tillägget.

När det gäller Firefox-förlängningen, lämnade de den som den sedan 3.x-versionen kommer att gå i pension i april ändå. För att vara tydlig är det inte en anklagelse. De har sagt det öppet i sitt tillkännagivande: "Den här felet rapporterades till vårt lag förra året och fixades vid den tiden. Fixen drogs dock inte ner till vår äldre Firefox 3.3.x-fil; denna filial har planerats till formell pension i april.

Vad du borde göra

Om du använder LastPass-tjänster rekommenderar jag starkt att dina webbläsartillägg är så aktuella som möjligt. Annat än det finns inget omedelbart hot för att vara orolig över. I allmänhet borde du göra detta med alla dina tillägg. Som standard kommer både Chrome och Firefox att utföra dessa uppdateringar för dig, så om du har valt ut kanske det är en bra tid att ge det en andra tanke.

Det finns en större oro, men ...

Att säga detta kommer säkert inte att vinna någon som pekar i dagens teknikindustrins klimat, men det måste sägas: bekvämlighet och säkerhet är vanligtvis en dikotomi. En av våra mest ivriga kommenterare gjorde ett liknande uttalande tidigare när vi rapporterade om CIA: s Vault 7 läckor.

När vi blir mer intima (till exempel dela våra lösenord, vår personliga information, etc.) med den teknik vi använder, ger vi effektivt hackare ett sätt att kompromissa oss. Överträdelser händer eftersom vi öppet litar på tekniken innan vi ens frågar oss om de kan skydda oss mot skador.

LastPass är en tjänst som gör allt för att se till att användarna kan lita på det med sina lösenord - själva nycklarna till deras online-existens. Men med all respekt för dem måste vi fråga oss själva: Vad om en dag vi inte har turen för att en bugg ska patchas innan den utnyttjas? Vad händer om ett oväntat problem i programkoden låter en hackare gå in och se all din information ut i det öppna?

Intrusions to LastPass har hänt tidigare, den senaste är 2015. Därefter bestämde sig en mer välvillig hacker i juli 2016 att avslöja en bugg som skulle kunna utnyttjas till allmänheten.

Tanken här är att du aldrig borde vara självmord. Visst, många av dessa utnyttjanden är visserligen lite mer hyped än de borde vara. Men du borde vara medveten om att du går in i farligt område varje gång du ger något personligt till en tjänst. Ibland uppväger förmånen risken, men bara du kan göra beslutsamheten när du är fullt informerad om vad du anmäler dig till.

Använder du en lösenordshanterare? Hur känner du dig om möjligheten att den tjänst du brukar upplever är ett brott? Berätta för oss i en kommentar!