Otto-js istraživački tim je u petak objavio članak o tome kako korisnici koji koriste napredne funkcije provjere pravopisa u Google Chromeu ili Microsoft Edge, može nesvjesno prenijeti lozinke i lične informacije (PII) na servere u oblaku trećih strana. Ne samo da ova ranjivost dovodi u opasnost privatne informacije prosječnog krajnjeg korisnika, već može i ostaviti administrativne akreditive organizacije i druge informacije vezane za infrastrukturu nezaštićenima za autsajdere.
Ranjivost je otkrio otto-js suosnivač i CTO Josh Summitt dok je testirao mogućnosti otkrivanja ponašanja skriptova kompanije. Tokom testiranja, Samit i otto-js tim otkrili su da je ispravna kombinacija funkcija u Chromeovom poboljšanom provjeravanju pravopisa ili MS Editoru u Edge-u nenamjerno razotkrila podatke polja koji sadrže PII i druge osjetljive informacije kada su poslate nazad na servere Microsoft i Google. Obje funkcije zahtijevaju eksplicitne radnje od korisnika kako bi ih omogućili, a kada se jednom omogući, korisnici često nisu svjesni da se njihovi podaci dijele s trećim stranama.
Pored podataka sa polja, otto-js tim je takođe otkrio da se korisničke lozinke mogu otkriti putem opcije pregledača lozinki. Ova opcija, koja će pomoći korisnicima da izbjegnu pogrešno unošenje lozinki, nehotice izlaže lozinku serverima trećih strana putem naprednih funkcija za provjeru pravopisa.
Individualni korisnici nisu jedina ugrožena strana. Ranjivost bi mogla dovesti do toga da neovlaštene treće strane kompromituju korporativne akreditive. Otto-js tim pružio je sljedeće primjere koji pokazuju kako korisnici prijavljeni na usluge u oblaku i infrastrukturne račune mogu nesvjesno prenijeti svoje vjerodajnice na servere Microsoft ili Google.
Prva slika (iznad) prikazuje primjer prijavljivanja na Alibaba Cloud nalog. Kada se prijavite putem Chromea, napredna funkcija provjere pravopisa šalje informacije o upitu na Google servere bez dozvole administratora. Kao što možete vidjeti na snimku ekrana (ispod), ove informacije uključuju stvarnu lozinku koja se unosi za prijavu u oblak kompanije. Pristup ovoj vrsti informacija može dovesti do bilo čega, od krađe korporativnih i korisničkih podataka do potpunog ugrožavanja kritične infrastrukture.
Otto-js tim je izvršio testiranje i analizu referentnih vrijednosti za društvene medije, uredske alate, zdravstvo, vladu, e-trgovinu i bankarske/finansijske usluge. Preko 96% od 30 testiranih kontrolnih grupa poslalo je podatke nazad Microsoft i Google. 73% testiranih stranica i grupa poslalo je lozinke na servere trećih strana kada je opcija odabrana prikaži lozinku. Oni sajtovi i servisi koji nisu slali lozinke jednostavno nisu imali tu funkciju prikaži lozinku i nisu nužno bile propisno zaštićene.
Kontaktirao je otto-js tim Microsoft 365, Alibaba Cloud, Google Cloud, AWS i LastPass, koji su pet najboljih lokacija i pružatelja usluga u oblaku koji predstavljaju najveći rizik za poslovne korisnike. Prema sigurnosnim ažuriranjima kompanije, AWS i LastPass su već odgovorili i rekli da je problem uspješno riješen.
Možete pomoći Ukrajini u borbi protiv ruskih osvajača. Najbolji način da to učinite je da donirate sredstva Oružanim snagama Ukrajine putem Savelife ili preko službene stranice NBU.
Pročitajte također:
Budite mirni, koristite Firefox
+