Jako rozsądny użytkownik różnych technologii wiem, że jeśli chodzi o skuteczne shakowanie jakiegoś rozwiązania, to zasadniczo nie kwestia czy, ale kiedy to nastąpi. Są jednak takie wyrazy, których w tym kontekście wolałbym nigdy nie przeczytać. Jednym z tych wyrazów jest Bitwarden, czyli menedżer haseł, z którego korzystam. A niestety tak się właśnie stało. Na szczęście stało się, ale w ograniczonym zakresie…
Jak podała firma Socket na swoim blogu, w wyniku pośredniego ataku (udany atak na inny składnik, mówi się konkretnie o Checkmarx, czyli… narzędzie do skanowania bezpieczeństwa kodu), zostało zainfekowane narzędzie Bitwarden CLI, czyli terminalowy klient Bitwardena. Zainfekowana wersja Bitwarden CLI to 2026.4.0, więc jeśli ktoś korzysta z Bitwarden CLI i ma u siebie tę wersję, to niestety, ale ma pecha. Potencjalnego, ale jednak.
Co ważne, i co powinno uspokoić większość użytkowników menedżera haseł Bitwarden, to to, że atak dotyczy tylko wersji CLI, a nie dotyczy (!) programów/klientów na telefon, komputer, rozszerzeń do przeglądarki… Czyli większość użytkowników może iść spać spokojnie. Z nadzieją, że w najbliższych dniach to się nie zmieni, bo choć atak dotyczy tylko Bitwarden CLI, to nie można wykluczyć, że zostały przejęte jakieś poświadczenia deweloperów. Choć przypuszczam, że trwają już tutaj solidne analizy, i na razie nic o tym nie wiadomo…
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- DJI Lito 1 i DJI Lito X1, czyli nowa seria dronów Mini, ale raczej nie zamiast Mini Pro - 1970-01-01
- Zmiana „w locie” poziomu logowania w ESPHome za pomocą komponentu „select” (nie tylko z poziomu Home Assistant) - 1970-01-01
- Gdy chcesz wkleić hasło wygenerowane przez menedżer haseł, ale w KSeF uznali, że wygodniej i bezpieczniej będzie, jak je wpiszesz ręcznie - 1970-01-01
