Piektdien otto-js pētnieku komanda publicēja rakstu par to, kā lietotāji izmanto Google Chrome uzlabotās pareizrakstības pārbaudes funkcijas vai Microsoft Edge, var neapzināti pārsūtīt paroles un personu identificējošu informāciju (PII) uz trešo pušu mākoņa serveriem. Šī ievainojamība ne tikai apdraud vidusmēra galalietotāja privāto informāciju, bet arī var atstāt nepiederošām personām neaizsargātus organizācijas administratīvos datus un citu ar infrastruktūru saistītu informāciju.
Ievainojamību atklāja otto-js līdzdibinātājs un CTO Josh Summit, pārbaudot uzņēmuma skriptu uzvedības noteikšanas iespējas. Pārbaudes laikā Samits un otto-js komanda atklāja, ka Chrome uzlabotā pareizrakstības pārbaudītāja vai Edge MS redaktora funkciju kombinācija nejauši atklāja lauka datus, kas satur PII un citu sensitīvu informāciju, kad tie tika nosūtīti atpakaļ uz serveriem. Microsoft un Google. Abām funkcijām ir nepieciešamas precīzas lietotāju darbības, lai tās iespējotu, un, kad tās ir iespējotas, lietotāji bieži vien nezina, ka viņu dati tiek kopīgoti ar trešajām pusēm.
Papildus lauka datiem otto-js komanda arī atklāja, ka lietotāju paroles var atklāt, izmantojot paroļu skatītāja opciju. Šī opcija, kas lietotājiem palīdzēs izvairīties no nepareizas paroļu ievadīšanas, netīšām pakļauj paroli trešo pušu serveriem, izmantojot uzlabotas pareizrakstības pārbaudes funkcijas.
Atsevišķi lietotāji nav vienīgā riskam pakļautā puse. Ievainojamības dēļ uzņēmuma akreditācijas datus var apdraudēt nesankcionētas trešās puses. otto-js komanda sniedza šādus piemērus, kas parāda, kā lietotāji, kas pieteikušies mākoņpakalpojumos un infrastruktūras kontos, var neapzināti pārsūtīt savus akreditācijas datus uz serveriem Microsoft vai Google.
Pirmajā attēlā (iepriekš) ir parādīts pieteikšanās Alibaba Cloud kontā piemērs. Kad pierakstāties, izmantojot pārlūku Chrome, uzlabotā pareizrakstības pārbaudes funkcija nosūta vaicājuma informāciju Google serveriem bez administratora atļaujas. Kā redzat ekrānuzņēmumā (zemāk), šī informācija ietver faktisko paroli, kas tiek ievadīta, lai pieteiktos uzņēmuma mākonī. Piekļuve šāda veida informācijai var izraisīt jebko, sākot no uzņēmuma un klientu datu zādzības līdz pilnīgai kritiskās infrastruktūras kompromitēšanai.
otto-js komanda veica testēšanu un analīzi attiecībā uz etaloniem, kuru mērķauditorija bija sociālie mediji, biroja rīki, veselības aprūpe, valdība, e-komercija un banku/finanšu pakalpojumi. Vairāk nekā 96% no 30 pārbaudītajām kontroles grupām nosūtīja datus atpakaļ uz Microsoft un Google. 73% pārbaudīto vietņu un grupu nosūtīja paroles trešo pušu serveriem, kad šī opcija tika atlasīta Rādīt paroli. Vietnēm un pakalpojumiem, kas nesūtīja paroles, šīs funkcijas vienkārši nebija Rādīt paroli un ne vienmēr bija pienācīgi aizsargāti.
otto-js komanda sazinājās Microsoft 365, Alibaba Cloud, Google Cloud, AWS un LastPass, kas ir piecas populārākās vietnes un mākoņpakalpojumu sniedzēji, kas rada vislielāko risku uzņēmumu klientiem. Saskaņā ar uzņēmuma drošības atjauninājumiem AWS un LastPass jau ir reaģējuši un teica, ka problēma ir veiksmīgi novērsta.
Jūs varat palīdzēt Ukrainai cīnīties pret krievu iebrucējiem. Labākais veids, kā to izdarīt, ir ziedot līdzekļus Ukrainas bruņotajiem spēkiem Savelife vai izmantojot oficiālo lapu NBU.
Lasi arī:
Esiet mierīgs, izmantojiet Firefox
+