Vendredi, l'équipe de recherche otto-js a publié un article sur la façon dont les utilisateurs utilisant les fonctionnalités avancées de vérification orthographique de Google Chrome ou Microsoft Edge peut, sans le savoir, transmettre des mots de passe et des informations personnelles identifiables (PII) à des serveurs cloud tiers. Non seulement cette vulnérabilité met en danger les informations privées de l'utilisateur final moyen, mais elle peut également laisser les informations d'identification administratives d'une organisation et d'autres informations liées à l'infrastructure non sécurisées pour des tiers.
La vulnérabilité a été découverte par Josh Summit, co-fondateur et CTO d'otto-js, alors qu'il testait les capacités de détection du comportement des scripts de l'entreprise. Au cours des tests, Samit et l'équipe otto-js ont constaté que la bonne combinaison de fonctionnalités du correcteur orthographique amélioré de Chrome ou de MS Editor dans Edge exposait par inadvertance des données de champ contenant des informations personnelles et d'autres informations sensibles lorsqu'elles étaient renvoyées aux serveurs. Microsoft et Google. Les deux fonctionnalités nécessitent des actions explicites de la part des utilisateurs pour les activer, et une fois activées, les utilisateurs ignorent souvent que leurs données sont partagées avec des tiers.
En plus des données de terrain, l'équipe otto-js a également découvert que les mots de passe des utilisateurs pouvaient être révélés via l'option de visionneuse de mots de passe. Cette option, qui aide les utilisateurs à éviter de saisir des mots de passe incorrectement, expose par inadvertance le mot de passe à des serveurs tiers grâce à des fonctionnalités avancées de vérification orthographique.
Les utilisateurs individuels ne sont pas les seuls à risque. Cette vulnérabilité pourrait entraîner la compromission des informations d'identification de l'entreprise par des tiers non autorisés. L'équipe otto-js a fourni les exemples suivants montrant comment les utilisateurs connectés aux services cloud et aux comptes d'infrastructure peuvent sans le savoir transmettre leurs informations d'identification aux serveurs. Microsoft ou Google.
La première image (ci-dessus) montre un exemple de connexion à un compte Alibaba Cloud. Lorsque vous vous connectez via Chrome, la fonctionnalité de vérification orthographique avancée envoie des informations de requête aux serveurs Google sans l'autorisation de l'administrateur. Comme vous pouvez le voir dans la capture d'écran (ci-dessous), ces informations incluent le mot de passe réel qui est entré pour se connecter au cloud de l'entreprise. L'accès à ce type d'informations peut conduire à tout, du vol de données d'entreprise et de clients à la compromission complète de l'infrastructure critique.
L'équipe otto-js a effectué des tests et des analyses sur des références ciblant les médias sociaux, les outils bureautiques, les soins de santé, le gouvernement, le commerce électronique et les services bancaires/financiers. Plus de 96 % des 30 groupes témoins testés ont renvoyé les données à Microsoft et Google. 73 % des sites et groupes testés ont envoyé des mots de passe à des serveurs tiers lorsque l'option a été sélectionnée montrer le mot de passe. Les sites et services qui n'envoyaient pas de mots de passe n'avaient tout simplement pas la fonctionnalité montrer le mot de passe et n'étaient pas nécessairement correctement protégés.
L'équipe otto-js contactée Microsoft 365, Alibaba Cloud, Google Cloud, AWS et LastPass, qui sont les cinq principaux sites et fournisseurs de services cloud qui présentent le plus grand risque pour les entreprises clientes. Selon les mises à jour de sécurité de l'entreprise, AWS et LastPass ont déjà répondu et déclaré que le problème avait été résolu avec succès.
Vous pouvez aider l'Ukraine à lutter contre les envahisseurs russes. La meilleure façon de le faire est de faire don de fonds aux forces armées ukrainiennes par le biais de Sauver la vie ou via la page officielle NBU.
Lisez aussi:
Restez calme, utilisez Firefox
+