U petak je istraživački tim otto-js objavio članak o tome kako korisnici koji koriste napredne značajke provjere pravopisa Google Chromea ili Microsoft Edge, može nesvjesno prenijeti lozinke i osobne podatke (PII) poslužiteljima u oblaku trećih strana. Ne samo da ova ranjivost dovodi privatne podatke prosječnog krajnjeg korisnika u opasnost, već također može ostaviti nezaštićene administrativne vjerodajnice organizacije i druge informacije povezane s infrastrukturom za osobe izvana.
Ranjivost je otkrio otto-js suosnivač i tehnički direktor Josh Summit tijekom testiranja sposobnosti otkrivanja ponašanja skripte tvrtke. Tijekom testiranja, Samit i otto-js tim otkrili su da prava kombinacija značajki u Chromeovoj poboljšanoj provjeri pravopisa ili MS Editoru u Edgeu nenamjerno izlaže podatke polja koji sadrže PII i druge osjetljive informacije kada se šalju natrag na poslužitelje Microsoft i Google. Obje značajke zahtijevaju eksplicitne radnje korisnika kako bi ih omogućile, a nakon što su omogućene, korisnici često nisu svjesni da se njihovi podaci dijele s trećim stranama.
Uz terenske podatke, otto-js tim također je otkrio da se korisničke lozinke mogu otkriti putem opcije preglednika lozinki. Ova opcija, koja će pomoći korisnicima da izbjegnu neispravan unos lozinki, nenamjerno izlaže lozinku poslužiteljima treće strane putem naprednih značajki provjere pravopisa.
Pojedinačni korisnici nisu jedina ugrožena strana. Ranjivost bi mogla dovesti do toga da neovlaštene treće strane ugroze korporativne vjerodajnice. Otto-js tim pružio je sljedeće primjere koji pokazuju kako korisnici prijavljeni na usluge oblaka i račune infrastrukture mogu nesvjesno prenijeti svoje vjerodajnice poslužiteljima Microsoft ili Google.
Prva slika (iznad) prikazuje primjer prijave na Alibaba Cloud račun. Kada se prijavljujete putem Chromea, značajka napredne provjere pravopisa šalje informacije o upitu Googleovim poslužiteljima bez administratorske dozvole. Kao što možete vidjeti na snimci zaslona (ispod), ove informacije uključuju stvarnu lozinku koja se unosi za prijavu u oblak tvrtke. Pristup ovoj vrsti informacija može dovesti do bilo čega, od krađe korporativnih i korisničkih podataka do potpunog ugrožavanja kritične infrastrukture.
Otto-js tim proveo je testiranje i analizu referentnih vrijednosti usmjerenih na društvene medije, uredske alate, zdravstvo, vladu, e-trgovinu i bankarske/financijske usluge. Preko 96% od 30 testiranih kontrolnih skupina poslalo je podatke natrag Microsoft i Google. 73% testiranih stranica i grupa poslalo je lozinke poslužiteljima trećih strana kada je opcija odabrana Pokaži lozinku. One stranice i usluge koje nisu slale lozinke jednostavno nisu imale tu značajku Pokaži lozinku i nisu nužno bili pravilno zaštićeni.
Otto-js tim je kontaktirao Microsoft 365, Alibaba Cloud, Google Cloud, AWS i LastPass, što je pet najboljih web-mjesta i pružatelja usluga u oblaku koji predstavljaju najveći rizik za poslovne korisnike. Prema sigurnosnim ažuriranjima tvrtke, AWS i LastPass već su odgovorili i rekli da je problem uspješno riješen.
Možete pomoći Ukrajini u borbi protiv ruskih osvajača. Najbolji način da to učinite je donirati sredstva Oružanim snagama Ukrajine putem Savelife ili putem službene stranice NBU.
Pročitajte također:
Ostanite mirni, koristite Firefox
+