В петък изследователската група otto-js публикува статия за това как потребителите, които използват разширените функции за проверка на правописа на Google Chrome или Microsoft Edge може несъзнателно да предава пароли и лична информация (PII) на облачни сървъри на трети страни. Тази уязвимост не само излага на риск личната информация на средния краен потребител, но също така може да остави незащитени административните идентификационни данни на организацията и друга информация, свързана с инфраструктурата, за външни лица.
Уязвимостта беше открита от съоснователя на otto-js и главния технически директор Джош Съмит, докато тестваха възможностите на компанията за откриване на поведение на скриптове. По време на тестването Самит и екипът на otto-js установиха, че правилната комбинация от функции в подобрената проверка на правописа на Chrome или MS Editor в Edge по невнимание излага полеви данни, съдържащи PII и друга чувствителна информация, когато се изпраща обратно към сървърите Microsoft и Google. И двете функции изискват изрични действия от потребителите, за да ги активират, и веднъж активирани, потребителите често не знаят, че техните данни се споделят с трети страни.
В допълнение към данните от полето, екипът на otto-js също откри, че паролите на потребителите могат да бъдат разкрити чрез опцията за преглед на пароли. Тази опция, която ще помогне на потребителите да избегнат неправилно въвеждане на пароли, неволно излага паролата на сървъри на трети страни чрез разширени функции за проверка на правописа.
Индивидуалните потребители не са единствената страна в риск. Уязвимостта може да доведе до компрометиране на корпоративни идентификационни данни от неупълномощени трети страни. Екипът на otto-js предостави следните примери, показващи как потребителите, влезли в облачни услуги и инфраструктурни акаунти, могат несъзнателно да предават своите идентификационни данни на сървъри Microsoft или Google.
Първото изображение (по-горе) показва пример за влизане в акаунт в Alibaba Cloud. Когато влезете през Chrome, разширената функция за проверка на правописа изпраща информация за заявка до сървърите на Google без разрешение на администратор. Както можете да видите на екранната снимка (по-долу), тази информация включва действителната парола, която се въвежда за влизане в облака на компанията. Достъпът до този вид информация може да доведе до всичко - от кражба на корпоративни и клиентски данни до пълен компромет на критична инфраструктура.
Екипът на otto-js проведе тестване и анализ на бенчмаркове, насочени към социални медии, офис инструменти, здравеопазване, правителство, електронна търговия и банкови/финансови услуги. Над 96% от 30-те тествани контролни групи изпратиха данни обратно на Microsoft и Google. 73% от тестваните сайтове и групи изпратиха пароли до сървъри на трети страни, когато опцията беше избрана Покажи парола. Тези сайтове и услуги, които не изпращаха пароли, просто не разполагаха с функцията Покажи парола и не е задължително да са правилно защитени.
Екипът на otto-js се свърза Microsoft 365, Alibaba Cloud, Google Cloud, AWS и LastPass, които са първите пет сайта и доставчици на облачни услуги, които представляват най-голям риск за корпоративните клиенти. Според актуализациите за сигурност на компанията, AWS и LastPass вече са отговорили и казаха, че проблемът е успешно отстранен.
Можете да помогнете на Украйна да се бори срещу руските нашественици. Най-добрият начин да направите това е да дарите средства на въоръжените сили на Украйна чрез Savelife или през официалната страница НБУ.
Прочетете също:
Запазете спокойствие, използвайте Firefox
+