Vào thứ Sáu, nhóm nghiên cứu otto-js đã xuất bản một bài viết về cách người dùng sử dụng các tính năng kiểm tra chính tả nâng cao của Google Chrome hoặc Microsoft Edge, có thể vô tình truyền mật khẩu và thông tin nhận dạng cá nhân (PII) tới máy chủ đám mây của bên thứ ba. Lỗ hổng này không chỉ khiến thông tin cá nhân của người dùng cuối gặp rủi ro mà còn có thể khiến thông tin đăng nhập quản trị của tổ chức và các thông tin liên quan đến cơ sở hạ tầng khác không được bảo mật cho người ngoài.
Lỗ hổng này được người đồng sáng lập otto-js và CTO Josh Summit phát hiện khi đang thử nghiệm khả năng phát hiện hành vi tập lệnh của công ty. Trong quá trình thử nghiệm, Samit và nhóm otto-js nhận thấy rằng sự kết hợp phù hợp giữa các tính năng trong trình kiểm tra chính tả nâng cao của Chrome hoặc MS Editor trong Edge đã vô tình làm lộ dữ liệu trường chứa PII và các thông tin nhạy cảm khác khi được gửi trở lại máy chủ Microsoft và Google. Cả hai tính năng đều yêu cầu người dùng thực hiện hành động rõ ràng để kích hoạt chúng và sau khi được bật, người dùng thường không biết rằng dữ liệu của họ đang được chia sẻ với bên thứ ba.
Ngoài dữ liệu hiện trường, nhóm otto-js cũng phát hiện ra rằng mật khẩu của người dùng có thể bị lộ thông qua tùy chọn xem mật khẩu. Tùy chọn này, sẽ giúp người dùng tránh nhập sai mật khẩu, vô tình làm lộ mật khẩu cho máy chủ của bên thứ ba thông qua các tính năng kiểm tra chính tả nâng cao.
Người dùng cá nhân không phải là bên duy nhất gặp rủi ro. Lỗ hổng bảo mật có thể khiến thông tin đăng nhập của công ty bị các bên thứ ba trái phép xâm phạm. Nhóm otto-js đã cung cấp các ví dụ sau cho thấy cách người dùng đăng nhập vào các tài khoản cơ sở hạ tầng và dịch vụ đám mây có thể vô tình truyền thông tin xác thực của họ đến máy chủ Microsoft hoặc Google.
Hình ảnh đầu tiên (ở trên) cho thấy một ví dụ về đăng nhập vào tài khoản Alibaba Cloud. Khi bạn đăng nhập qua Chrome, tính năng kiểm tra chính tả nâng cao sẽ gửi thông tin truy vấn đến máy chủ của Google mà không cần sự cho phép của quản trị viên. Như bạn có thể thấy trong ảnh chụp màn hình (bên dưới), thông tin này bao gồm mật khẩu thực được nhập để đăng nhập vào đám mây của công ty. Việc truy cập vào loại thông tin này có thể dẫn đến bất cứ điều gì, từ việc đánh cắp dữ liệu của công ty và khách hàng đến sự xâm phạm hoàn toàn của cơ sở hạ tầng quan trọng.
Nhóm otto-js đã tiến hành thử nghiệm và phân tích các điểm chuẩn nhắm mục tiêu vào mạng xã hội, công cụ văn phòng, chăm sóc sức khỏe, chính phủ, thương mại điện tử và dịch vụ ngân hàng/tài chính. Hơn 96% trong số 30 nhóm kiểm soát được thử nghiệm đã gửi dữ liệu trở lại Microsoft và Google. 73% trang web và nhóm được thử nghiệm đã gửi mật khẩu đến máy chủ của bên thứ ba khi tùy chọn được chọn hiển thị mật khẩu. Những trang web và dịch vụ không gửi mật khẩu đơn giản là không có tính năng hiển thị mật khẩu và không nhất thiết phải được bảo vệ đúng cách.
Nhóm otto-js đã liên hệ Microsoft 365, Alibaba Cloud, Google Cloud, AWS và LastPass, đây là trang web và nhà cung cấp dịch vụ đám mây hàng đầu gây rủi ro lớn nhất cho khách hàng doanh nghiệp. Theo bản cập nhật bảo mật của công ty, AWS và LastPass đã phản hồi và cho biết sự cố đã được khắc phục thành công.
Bạn có thể giúp Ukraine chiến đấu chống lại những kẻ xâm lược Nga. Cách tốt nhất để làm điều này là quyên góp quỹ cho Các lực lượng vũ trang của Ukraine thông qua Cuộc sống tiết kiệm hoặc thông qua trang chính thức NBU.
Đọc thêm:
Giữ bình tĩnh, sử dụng Firefox
+