Mega, situs berbagi file terpupuler ini telah memiliki celah keamanan besar, seperti terlihat pada ekstensi Chrome – di Web Chrome Store – telah diupdate dan diganti dengan kode berbahaya yang bermaksud mencuri kredensial pengguna serta kunci pribadi untuk dompet cryptocurrency.

“Pada 4 September 2018 pukul 14:30 UTC, penyerang yang tidak dikenal mengunggah versi trojaned dari ekstensi Chrome MEGA, versi 3.39.4, ke toko web Google Chrome,” tulis perusahaan itu di blogpost yang merinci pelanggaran tersebut.

Seperti per Mega, ekstensi jahat yang secara khusus menargetkan situs web seperti Amazon, Live (Microsoft), Github, dan Google, antara lain, untuk mencuri kredensial pengguna. Termasuk juga mencuri kunci pribadi untuk dompet cryptocurrency, menargetkan layanan seperti MyEtherWallet, MyMonero, dan Idex.market. Selain itu, perusahaan menambahkan:

Harap dicatat bahwa jika Anda mengunjungi situs atau memanfaatkan ekstensi lain yang mengirim kredensial teks biasa melalui permintaan POST, baik dengan pengiriman formulir langsung atau melalui proses XMLHttpRequest latar belakang (MEGA bukan salah satu dari mereka) sementara ekstensi trojaned aktif, pertimbangkan bahwa kredensial Anda dikompromikan di situs dan / atau aplikasi ini.

Ekstensi mengirim informasi yang diambil ke server di Ukraina, per investigasi Mega.

Pengguna yang terkena dampak adalah mereka yang baru saja menginstal ekstensi selama jangka waktu itu tertentu dan mereka yang mengupdate ekstensi ke versi 3.39.4. Padahal, versi itu memang meminta izin yang jauh lebih banyak, jadi – bahkan dengan update otomatis diaktifkan – pengguna harus menerima izin baru.

Mega mengatakan masih menyelidiki bagaimana pelaku berhasil mendapatkan akses ke akun Web Chrome Store. Adapun seterusnya, perusahaan mengatakan telah mengambil tindakan segera segera setelah menyadari selang tersebut:

Empat jam setelah pelanggaran terjadi, ekstensi trojaned telah diupdate oleh MEGA dengan versi bersih (3.39.5), instalasi yang terpengaruh autoupdating. Google menghapus ekstensi dari toko web Chrome lima jam setelah pelanggaran.

Dalam blognya, Mega juga menunjukkan sedikit kesalahan di Google; “Sayangnya, Google memutuskan untuk tidak mengizinkan tanda tangan penayang pada ekstensi Chrome dan sekarang hanya mengandalkan penandatanganan secara otomatis setelah diunggah ke toko web Chrome, yang menghilangkan penghalang penting untuk eksternal,” catatan perusahaan.

Saat menulis artikel ini, ekstensi masih tidak tersedia di Web Chrome Store.