Penktadienį otto-js tyrimų komanda paskelbė straipsnį apie tai, kaip vartotojai, naudojantys išplėstines Google Chrome rašybos tikrinimo funkcijas arba Microsoft Edge, gali nesąmoningai perduoti slaptažodžius ir asmenį identifikuojančią informaciją (PII) į trečiųjų šalių debesies serverius. Šis pažeidžiamumas ne tik kelia pavojų vidutinio galutinio vartotojo privačiai informacijai, bet ir gali palikti organizacijos administracinius kredencialus ir kitą su infrastruktūra susijusią informaciją neapsaugotą pašaliniams asmenims.
Pažeidžiamumą aptiko otto-js įkūrėjas ir CTO Josh Summit, bandydamas įmonės scenarijaus elgesio aptikimo galimybes. Bandymų metu Samit ir otto-js komanda nustatė, kad tinkamas „Chrome“ patobulinto rašybos tikrinimo arba MS redaktoriaus „Edge“ funkcijų derinys netyčia atskleidė lauko duomenis, kuriuose yra AII ir kitos neskelbtinos informacijos, kai buvo išsiųstas atgal į serverius. Microsoft ir Google. Abi funkcijos reikalauja aiškių naudotojų veiksmų, kad jas įgalintų, o įjungę vartotojai dažnai nežino, kad jų duomenys bendrinami su trečiosiomis šalimis.
Be lauko duomenų, otto-js komanda taip pat atrado, kad vartotojų slaptažodžiai gali būti atskleisti naudojant slaptažodžių peržiūros parinktį. Ši parinktis, padedanti vartotojams išvengti neteisingo slaptažodžių įvedimo, netyčia atskleidžia slaptažodį trečiųjų šalių serveriams naudojant išplėstines rašybos tikrinimo funkcijas.
Atskiri vartotojai nėra vienintelė šalis, kuriai gresia pavojus. Dėl pažeidžiamumo įmonės kredencialai gali būti pažeisti neleistinų trečiųjų šalių. otto-js komanda pateikė šiuos pavyzdžius, rodančius, kaip vartotojai, prisijungę prie debesies paslaugų ir infrastruktūros paskyrų, gali nesąmoningai perduoti savo kredencialus į serverius Microsoft arba Google.
Pirmame paveikslėlyje (aukščiau) parodytas prisijungimo prie „Alibaba Cloud“ paskyros pavyzdys. Kai prisijungiate per „Chrome“, išplėstinė rašybos tikrinimo funkcija siunčia užklausos informaciją „Google“ serveriams be administratoriaus leidimo. Kaip matote ekrano kopijoje (toliau), ši informacija apima tikrąjį slaptažodį, įvestą norint prisijungti prie įmonės debesies. Prieiga prie tokios informacijos gali sukelti bet ką – nuo įmonės ir klientų duomenų vagystės iki visiško kritinės infrastruktūros sugadinimo.
otto-js komanda atliko socialinių tinklų, biuro įrankių, sveikatos priežiūros, vyriausybės, elektroninės prekybos ir bankininkystės / finansinių paslaugų etalonų testavimą ir analizę. Daugiau nei 96 % iš 30 patikrintų kontrolinių grupių duomenis siuntė atgal į Microsoft ir Google. 73 % išbandytų svetainių ir grupių išsiuntė slaptažodžius į trečiųjų šalių serverius, kai buvo pasirinkta parinktis Rodyti slaptažodį. Tos svetainės ir paslaugos, kurios nesiuntė slaptažodžių, tiesiog neturėjo šios funkcijos Rodyti slaptažodį ir nebūtinai buvo tinkamai apsaugoti.
„otto-js“ komanda susisiekė Microsoft 365, „Alibaba Cloud“, „Google Cloud“, AWS ir LastPass, kurios yra penkios didžiausios svetainės ir debesies paslaugų teikėjai, keliantys didžiausią pavojų įmonių klientams. Remiantis bendrovės saugos atnaujinimais, AWS ir LastPass jau atsakė ir teigė, kad problema sėkmingai išspręsta.
Jūs galite padėti Ukrainai kovoti su Rusijos įsibrovėliais. Geriausias būdas tai padaryti – aukoti lėšas Ukrainos ginkluotosioms pajėgoms per Išgelbėk gyvybę arba per oficialų puslapį NBU.
Taip pat skaitykite:
Būkite ramūs, naudokite Firefox
+