Noong Biyernes, ang koponan ng pananaliksik ng otto-js ay nag-publish ng isang artikulo tungkol sa kung paano ginagamit ng mga user ang mga advanced na feature sa pagsuri ng spell ng Google Chrome o Microsoft Edge, ay maaaring hindi sinasadyang magpadala ng mga password at personally identifiable information (PII) sa mga third-party na cloud server. Hindi lamang inilalagay ng kahinaang ito sa panganib ang pribadong impormasyon ng karaniwang end user, ngunit maaari rin nitong iwanan ang mga kredensyal ng administratibo ng organisasyon at iba pang impormasyong nauugnay sa imprastraktura na hindi secure sa mga tagalabas.
Ang kahinaan ay natuklasan ng co-founder ng otto-js at CTO Josh Summit habang sinusubukan ang mga kakayahan sa pagtuklas ng gawi ng script ng kumpanya. Sa panahon ng pagsubok, nalaman ni Samit at ng otto-js team na ang tamang kumbinasyon ng mga feature sa pinahusay na spell checker ng Chrome o MS Editor sa Edge ay hindi sinasadyang naglantad ng data ng field na naglalaman ng PII at iba pang sensitibong impormasyon kapag ipinadala pabalik sa mga server Microsoft at Google. Ang parehong mga tampok ay nangangailangan ng mga tahasang pagkilos mula sa mga user upang paganahin ang mga ito, at kapag pinagana, ang mga user ay madalas na hindi alam na ang kanilang data ay ibinabahagi sa mga third party.
Bilang karagdagan sa data ng field, natuklasan din ng otto-js team na ang mga password ng mga user ay maaaring ibunyag sa pamamagitan ng opsyon sa viewer ng password. Ang opsyong ito, na tutulong sa mga user na maiwasan ang pagpasok ng mga password nang hindi tama, ay hindi sinasadyang inilalantad ang password sa mga third-party na server sa pamamagitan ng mga advanced na feature ng spell-checking.
Ang mga indibidwal na user ay hindi lamang ang partidong nasa panganib. Ang kahinaan ay maaaring magresulta sa mga kredensyal ng korporasyon na nakompromiso ng hindi awtorisadong mga third party. Ang koponan ng otto-js ay nagbigay ng mga sumusunod na halimbawa na nagpapakita kung paano naka-log in ang mga user sa mga serbisyo ng cloud at mga account sa imprastraktura nang hindi sinasadyang maipadala ang kanilang mga kredensyal sa mga server Microsoft o Google.
Ang unang larawan (sa itaas) ay nagpapakita ng isang halimbawa ng pag-log in sa isang Alibaba Cloud account. Kapag nag-sign in ka sa pamamagitan ng Chrome, nagpapadala ang advanced na feature ng spell check ng impormasyon ng query sa mga server ng Google nang walang pahintulot ng administrator. Tulad ng makikita mo sa screenshot (sa ibaba), kasama sa impormasyong ito ang aktwal na password na inilagay upang mag-log in sa cloud ng kumpanya. Ang pag-access sa ganitong uri ng impormasyon ay maaaring humantong sa anumang bagay mula sa pagnanakaw ng data ng kumpanya at customer hanggang sa kumpletong kompromiso ng kritikal na imprastraktura.
Nagsagawa ang otto-js team ng pagsubok at pagsusuri sa mga benchmark na nagta-target sa social media, mga tool sa opisina, pangangalaga sa kalusugan, gobyerno, e-commerce, at mga serbisyo sa pagbabangko/pinansyal. Mahigit sa 96% ng 30 control group na nasubok ang nagpadala ng data pabalik sa Microsoft at Google. 73% ng mga nasubok na site at grupo ay nagpadala ng mga password sa mga third-party na server kapag napili ang opsyon Ipakita ang Password. Ang mga site at serbisyong iyon na hindi nagpadala ng mga password ay walang feature Ipakita ang Password at hindi kinakailangang maayos na protektado.
Nakipag-ugnayan ang otto-js team Microsoft 365, Alibaba Cloud, Google Cloud, AWS, at LastPass, na siyang nangungunang limang site at cloud service provider na nagdudulot ng pinakamalaking panganib sa mga customer ng enterprise. Ayon sa mga update sa seguridad ng kumpanya, ang AWS at LastPass ay tumugon na at naiulat na ang isyu ay matagumpay na naayos.
Matutulungan mo ang Ukraine na labanan ang mga mananakop na Ruso. Ang pinakamahusay na paraan upang gawin ito ay ang mag-abuloy ng mga pondo sa Armed Forces of Ukraine sa pamamagitan ng Savelife o sa pamamagitan ng opisyal na pahina NBU.
Basahin din:
Manatiling kalmado, gumamit ng Firefox
+