Perjantaina otto-js:n tutkimusryhmä julkaisi artikkelin siitä, kuinka käyttäjät, jotka käyttävät Google Chromen edistyneitä oikeinkirjoituksen tarkistuksia tai Microsoft Edge voi tietämättään lähettää salasanoja ja henkilökohtaisia tunnistetietoja (PII) kolmannen osapuolen pilvipalvelimille. Tämä haavoittuvuus ei ainoastaan vaaranna keskimääräisen loppukäyttäjän yksityisiä tietoja, vaan se voi myös jättää organisaation järjestelmänvalvojan tunnistetiedot ja muut infrastruktuuriin liittyvät tiedot suojaamatta ulkopuolisille.
Haavoittuvuuden havaitsi otto-js:n perustaja ja teknologiajohtaja Josh Summitt testatessaan yrityksen komentosarjakäyttäytymisen havaitsemiskykyä. Testauksen aikana Samit ja otto-js-tiimi havaitsivat, että Chromen tehostetun oikeinkirjoituksen tarkistuksen tai Edgen MS Editorin ominaisuuksien oikea yhdistelmä paljasti vahingossa henkilökohtaisia tunnistetietoja ja muita arkaluontoisia tietoja, kun ne lähetettiin takaisin palvelimille. Microsoft ja Google. Molemmat ominaisuudet vaativat käyttäjiltä nimenomaisia toimia niiden käyttöön ottamiseksi, ja kun ne on otettu käyttöön, käyttäjät eivät usein tiedä, että heidän tietojaan jaetaan kolmansien osapuolten kanssa.
Kenttätietojen lisäksi otto-js-tiimi havaitsi myös, että käyttäjien salasanat voitiin paljastaa salasanan katselutoiminnon kautta. Tämä vaihtoehto, joka auttaa käyttäjiä välttämään salasanan väärin kirjoittamista, paljastaa salasanan vahingossa kolmannen osapuolen palvelimille edistyneiden oikolukuominaisuuksien avulla.
Yksittäiset käyttäjät eivät ole ainoa vaarassa oleva osapuoli. Haavoittuvuus voi johtaa siihen, että luvattomat kolmannet osapuolet voivat vaarantaa yrityksen tunnistetiedot. Otto-js-tiimi tarjosi seuraavat esimerkit, jotka osoittavat, kuinka pilvipalveluihin ja infrastruktuuritileihin kirjautuneet käyttäjät voivat tietämättään lähettää valtuustietonsa palvelimille Microsoft tai Google.
Ensimmäinen kuva (yllä) näyttää esimerkin kirjautumisesta Alibaba Cloud -tilille. Kun kirjaudut sisään Chromen kautta, edistynyt oikeinkirjoituksen tarkistusominaisuus lähettää kyselytiedot Googlen palvelimille ilman järjestelmänvalvojan lupaa. Kuten näet kuvakaappauksesta (alla), nämä tiedot sisältävät varsinaisen salasanan, joka syötetään yrityksen pilveen kirjautumiseen. Tällaisten tietojen käyttö voi johtaa mihin tahansa yritys- ja asiakastietojen varkauksista kriittisen infrastruktuurin täydelliseen kompromissiin.
Otto-js-tiimi suoritti testit ja analyysit sosiaaliseen mediaan, toimistotyökaluihin, terveydenhuoltoon, hallintoon, sähköiseen kaupankäyntiin ja pankki-/rahoituspalveluihin kohdistetuilla vertailuarvoilla. Yli 96 % 30 testatusta kontrolliryhmästä lähetti tiedot takaisin Microsoft ja Google. 73 % testatuista sivustoista ja ryhmistä lähetti salasanoja kolmannen osapuolen palvelimille, kun vaihtoehto valittiin näytä salasana. Niillä sivustoilla ja palveluilla, jotka eivät lähettäneet salasanoja, ei yksinkertaisesti ollut tätä ominaisuutta näytä salasana eikä niitä välttämättä suojattu kunnolla.
Otto-js-tiimi otti yhteyttä Microsoft 365, Alibaba Cloud, Google Cloud, AWS ja LastPass, jotka ovat viisi suurinta sivustoa ja pilvipalveluntarjoajaa, jotka muodostavat suurimman riskin yritysasiakkaille. Yhtiön tietoturvapäivitysten mukaan AWS ja LastPass ovat jo vastanneet ja sanoneet, että ongelma on korjattu onnistuneesti.
Voit auttaa Ukrainaa taistelemaan venäläisiä hyökkääjiä vastaan. Paras tapa tehdä tämä on lahjoittaa varoja Ukrainan asevoimille Pelasta elämä tai virallisen sivun kautta NBU.
Lue myös:
Pysy rauhallisena, käytä Firefoxia
+