Az otto-js kutatócsoportja pénteken publikált egy cikket arról, hogy a Google Chrome fejlett helyesírás-ellenőrző funkcióit használó felhasználók, ill. Microsoft Az Edge tudtukon kívül továbbíthat jelszavakat és személyazonosításra alkalmas információkat (PII) harmadik fél felhőkiszolgálóinak. Ez a sérülékenység nemcsak az átlagos végfelhasználó személyes adatait veszélyezteti, hanem a szervezet adminisztrációs adatait és egyéb infrastruktúrával kapcsolatos információkat is biztonság nélkül hagyhatja a kívülállók számára.
A sérülékenységet az otto-js társalapítója és Josh Summit műszaki igazgató fedezte fel, miközben tesztelte a cég szkriptek viselkedését észlelő képességeit. A tesztelés során Samit és az otto-js csapata megállapította, hogy a Chrome továbbfejlesztett helyesírás-ellenőrzőjének vagy az Edge-ben található MS Editor funkcióinak megfelelő kombinációja véletlenül nyilvánosságra hozta a személyazonosításra alkalmas adatokat és más érzékeny információkat tartalmazó terepi adatokat, amikor visszaküldték őket a szervereknek. Microsoft és a Google. Mindkét funkció használatához kifejezett műveletekre van szükség a felhasználóktól, és az engedélyezést követően a felhasználók gyakran nincsenek tudatában annak, hogy adataikat megosztják harmadik felekkel.
A helyszíni adatok mellett az otto-js csapata azt is felfedezte, hogy a felhasználók jelszavait a jelszómegjelenítő opcióval lehet felfedni. Ez az opció, amely segít a felhasználóknak elkerülni a hibás jelszavak beírását, a fejlett helyesírás-ellenőrző funkciókon keresztül véletlenül felfedi a jelszót a harmadik féltől származó szerverek számára.
Nem az egyéni felhasználók az egyetlen veszélyben lévő fél. A biztonsági rés azt eredményezheti, hogy a vállalati hitelesítő adatokat jogosulatlan harmadik felek veszélyeztethetik. Az otto-js csapata a következő példákat mutatta be, amelyek bemutatják, hogy a felhőszolgáltatásokba és infrastruktúra-fiókokba bejelentkezett felhasználók tudtukon kívül továbbíthatják hitelesítő adataikat a szervereknek Microsoft vagy a Google.
Az első kép (fent) egy Alibaba Cloud-fiókba való bejelentkezésre mutat példát. Ha a Chrome-on keresztül jelentkezik be, a speciális helyesírás-ellenőrző funkció rendszergazdai engedély nélkül küldi el a lekérdezési információkat a Google szervereinek. Amint az a képernyőképen (lent) látható, ez az információ tartalmazza a tényleges jelszót, amelyet a vállalat felhőjébe való bejelentkezéshez kell megadni. Az ilyen jellegű információkhoz való hozzáférés bármihez vezethet, a vállalati és ügyféladatok ellopásától a kritikus infrastruktúra teljes kompromittálásáig.
Az otto-js csapata tesztelést és elemzést végzett a közösségi médiát, az irodai eszközöket, az egészségügyet, a kormányzatot, az e-kereskedelmet és a banki/pénzügyi szolgáltatásokat célzó benchmarkokon. A vizsgált 96 kontrollcsoport több mint 30%-a küldte vissza az adatokat Microsoft és a Google. A tesztelt webhelyek és csoportok 73%-a jelszavakat küldött harmadik fél szervereinek, amikor ezt a lehetőséget választották Mutasd a jelszót. Azok a webhelyek és szolgáltatások, amelyek nem küldtek jelszavakat, egyszerűen nem rendelkeztek ezzel a funkcióval Mutasd a jelszót és nem feltétlenül voltak megfelelően védve.
Az otto-js csapata felvette a kapcsolatot Microsoft 365, Alibaba Cloud, Google Cloud, AWS és LastPass, amelyek az öt legnagyobb webhely és felhőszolgáltató, amelyek a legnagyobb kockázatot jelentik a vállalati ügyfelek számára. A vállalat biztonsági frissítései szerint az AWS és a LastPass már válaszolt, és azt mondták, hogy a problémát sikeresen kijavították.
Segíthet Ukrajnának az orosz megszállók elleni küzdelemben. Ennek legjobb módja, ha adományokat adományoz az ukrán fegyveres erőknek ezen keresztül Savelife vagy a hivatalos oldalon keresztül NBU.
Olvassa el még:
Maradj nyugodt, használj Firefoxot
+