Fredag publiserte forskningsgruppen otto-js en artikkel om hvordan brukere som bruker de avanserte stavekontrollfunksjonene i Google Chrome eller Microsoft Edge, kan ubevisst overføre passord og personlig identifiserbar informasjon (PII) til tredjeparts skyservere. Ikke bare setter dette sikkerhetsproblemet den private informasjonen til den gjennomsnittlige sluttbrukeren i fare, men den kan også gjøre organisasjonens administrative legitimasjon og annen infrastrukturrelatert informasjon usikret for utenforstående.
Sårbarheten ble oppdaget av otto-js medgründer og CTO Josh Summit mens de testet selskapets skriptadferdsdeteksjonsfunksjoner. Under testingen fant Samit og otto-js-teamet ut at den riktige kombinasjonen av funksjoner i Chromes forbedrede stavekontroll eller MS Editor in Edge utilsiktet eksponerte feltdata som inneholder PII og annen sensitiv informasjon når de ble sendt tilbake til serverne. Microsoft og Google. Begge funksjonene krever eksplisitte handlinger fra brukere for å aktivere dem, og når de er aktivert, er brukere ofte uvitende om at dataene deres blir delt med tredjeparter.
I tillegg til feltdataene oppdaget otto-js-teamet også at brukernes passord kunne avsløres gjennom passordvisningsalternativet. Dette alternativet, som vil hjelpe brukere med å unngå å skrive inn passord feil, utsetter passordet utilsiktet for tredjepartsservere gjennom avanserte stavekontrollfunksjoner.
Individuelle brukere er ikke den eneste risikoen. Sårbarheten kan føre til at bedriftens legitimasjon blir kompromittert av uautoriserte tredjeparter. otto-js-teamet ga følgende eksempler som viser hvordan brukere som er logget på skytjenester og infrastrukturkontoer ubevisst kan overføre legitimasjonen sin til servere Microsoft eller Google.
Det første bildet (over) viser et eksempel på pålogging til en Alibaba Cloud-konto. Når du logger på via Chrome, sender den avanserte stavekontrollfunksjonen spørringsinformasjon til Googles servere uten administratortillatelse. Som du kan se på skjermbildet (nedenfor), inkluderer denne informasjonen selve passordet som legges inn for å logge inn i selskapets sky. Tilgang til denne typen informasjon kan føre til alt fra tyveri av bedrifts- og kundedata til fullstendig kompromittering av kritisk infrastruktur.
otto-js-teamet gjennomførte testing og analyser av benchmarks rettet mot sosiale medier, kontorverktøy, helsevesen, myndigheter, e-handel og bank/finanstjenester. Over 96 % av de 30 kontrollgruppene som ble testet sendte data tilbake til Microsoft og Google. 73 % av testede nettsteder og grupper sendte passord til tredjepartsservere da alternativet ble valgt Vis passord. De nettstedene og tjenestene som ikke sendte passord, hadde rett og slett ikke funksjonen Vis passord og var ikke nødvendigvis forsvarlig beskyttet.
Otto-js-teamet tok kontakt Microsoft 365, Alibaba Cloud, Google Cloud, AWS og LastPass, som er de fem beste nettstedene og skytjenesteleverandørene som utgjør den største risikoen for bedriftskunder. I følge selskapets sikkerhetsoppdateringer har AWS og LastPass allerede svart og sagt at problemet er løst.
Du kan hjelpe Ukraina med å kjempe mot de russiske inntrengerne. Den beste måten å gjøre dette på er å donere midler til Ukrainas væpnede styrker gjennom Redd livet eller via den offisielle siden NBU.
Les også:
Hold deg rolig, bruk Firefox
+