Во петокот, истражувачкиот тим otto-js објави напис за тоа како корисниците кои ги користат напредните функции за проверка на правопис во Google Chrome или Microsoft Edge, може несвесно да пренесува лозинки и информации за лична идентификација (PII) на облак сервери од трета страна. Не само што оваа ранливост ги става на ризик приватните информации на просечниот краен корисник, туку може да ги остави и административните акредитиви на организацијата и другите информации поврзани со инфраструктурата необезбедени на надворешни лица.
Ранливоста беше откриена од страна на ко-основачот на otto-js и CTO Џош Самит при тестирање на способностите за откривање на однесувањето на скрипти на компанијата. За време на тестирањето, Самит и тимот на otto-js открија дека вистинската комбинација на функции во подобрената проверка на правописот на Chrome или MS Editor во Edge ненамерно ги изложила податоците од теренот што содржат PII и други чувствителни информации кога се враќаат на серверите Microsoft и Google. Двете функции бараат експлицитни дејства од корисниците за да ги овозможат, а откако ќе се овозможат, корисниците честопати не се свесни дека нивните податоци се споделуваат со трети страни.
Покрај податоците од теренот, тимот на otto-js откри и дека лозинките на корисниците може да се откријат преку опцијата за прегледувач на лозинки. Оваа опција, која ќе им помогне на корисниците да избегнат погрешно внесување лозинки, ненамерно ја изложува лозинката на сервери од трети страни преку напредни функции за проверка на правопис.
Индивидуалните корисници не се единствената загрозена страна. Ранливоста може да резултира со компромитирање на корпоративните ингеренции од неовластени трети страни. Тимот на otto-js ги даде следните примери кои покажуваат како корисниците најавени на облак услуги и сметки за инфраструктура можат несвесно да ги пренесат своите ингеренции на серверите Microsoft или Google.
Првата слика (погоре) покажува пример за најавување на сметка на Alibaba Cloud. Кога се најавувате преку Chrome, напредната функција за проверка на правопис испраќа информации за барањето до серверите на Google без дозвола од администраторот. Како што можете да видите на сликата од екранот (подолу), оваа информација ја вклучува вистинската лозинка што е внесена за да се најавите во облакот на компанијата. Пристапот до овој вид на информации може да доведе до се, од кражба на корпоративни и кориснички податоци до целосен компромис на критичната инфраструктура.
Тимот на otto-js изврши тестирање и анализа на одредници насочени кон социјалните медиуми, канцелариските алатки, здравството, владата, е-трговијата и банкарските/финансиските услуги. Над 96% од 30-те контролни групи тестирани испратиле податоци назад до Microsoft и Google. 73% од тестираните локации и групи испратија лозинки до сервери од трети страни кога беше избрана опцијата Покажи лозинка. Оние сајтови и услуги кои не испраќаа лозинки едноставно ја немаа функцијата Покажи лозинка и не мораше да бидат соодветно заштитени.
Контактираше тимот на otto-js Microsoft 365, Alibaba Cloud, Google Cloud, AWS и LastPass, кои се првите пет локации и даватели на облак услуги кои претставуваат најголем ризик за клиентите на претпријатијата. Според безбедносните ажурирања на компанијата, AWS и LastPass веќе одговорија и известија дека проблемот е успешно поправен.
Можете да и помогнете на Украина да се бори против руските напаѓачи. Најдобар начин да го направите ова е да донирате средства за вооружените сили на Украина преку Савелифе или преку официјалната страница Bвезди.
Прочитајте исто така:
Останете смирени, користете Firefox
+