Á föstudaginn birti otto-js rannsóknarteymið grein um hvernig notendur nota háþróaða villuleitareiginleika Google Chrome eða Microsoft Edge, gæti óafvitandi sent lykilorð og persónugreinanlegar upplýsingar (PII) til skýjaþjóna þriðja aðila. Þessi varnarleysi setur ekki aðeins einkaupplýsingar hins almenna notanda í hættu, heldur getur það einnig skilið utanaðkomandi aðila stjórnsýsluskilríki og aðrar innviðatengdar upplýsingar ótryggðar.
Varnarleysið var uppgötvað af otto-js meðstofnandi og CTO Josh Summit á meðan hann prófaði handritahegðun greiningargetu fyrirtækisins. Við prófun komust Samit og otto-js teymið að því að rétt samsetning eiginleika í endurbættum villuleit Chrome eða MS Editor í Edge afhjúpaði óviljandi svæðisgögn sem innihéldu PII og aðrar viðkvæmar upplýsingar þegar þær voru sendar aftur til netþjónanna. Microsoft og Google. Báðir eiginleikar krefjast skýrra aðgerða frá notendum til að virkja þá og þegar þeir eru virkjaðir eru notendur oft ekki meðvitaðir um að gögnum þeirra sé deilt með þriðja aðila.
Til viðbótar við svæðisgögnin uppgötvaði otto-js teymið einnig að lykilorð notenda gæti komið í ljós með lykilorðaskoðunarvalkostinum. Þessi valkostur, sem mun hjálpa notendum að forðast að slá rangt inn lykilorð, afhjúpar lykilorðið óvart fyrir þriðja aðila netþjónum með háþróaðri villuleitaraðgerðum.
Einstakir notendur eru ekki eini aðilinn í hættu. Varnarleysið gæti leitt til þess að óviðkomandi þriðju aðilum gæti farið í hættu á skilríkjum fyrirtækja. otto-js teymið gaf eftirfarandi dæmi sem sýndu hvernig notendur sem skráðu sig inn á skýjaþjónustu og innviðareikninga geta óafvitandi sent skilríki sín til netþjóna Microsoft eða Google.
Fyrsta myndin (fyrir ofan) sýnir dæmi um innskráningu á Alibaba Cloud reikning. Þegar þú skráir þig inn í gegnum Chrome sendir háþróaður villuleitaraðgerðin fyrirspurnaupplýsingar til Google netþjóna án leyfis stjórnanda. Eins og þú sérð á skjámyndinni (fyrir neðan) innihalda þessar upplýsingar raunverulegt lykilorð sem er slegið inn til að skrá þig inn í ský fyrirtækisins. Aðgangur að slíkum upplýsingum getur leitt til allt frá þjófnaði á gögnum fyrirtækja og viðskiptavina til algjörrar málamiðlunar á mikilvægum innviðum.
Otto-js teymið framkvæmdi prófanir og greiningar á viðmiðum sem miða að samfélagsmiðlum, skrifstofuverkfærum, heilbrigðisþjónustu, stjórnvöldum, rafrænum viðskiptum og banka-/fjármálaþjónustu. Yfir 96% af 30 samanburðarhópum sem prófaðir voru sendu gögn til baka Microsoft og Google. 73% prófaðra vefsvæða og hópa sendu lykilorð til þriðju aðila netþjóna þegar valkosturinn var valinn sýna lykilorð. Þessar síður og þjónustur sem sendu ekki lykilorð höfðu einfaldlega ekki eiginleikann sýna lykilorð og voru ekki endilega rétt varin.
Otto-js teymið hafði samband Microsoft 365, Alibaba Cloud, Google Cloud, AWS og LastPass, sem eru fimm efstu síðurnar og skýjaþjónustuveitendurnir sem hafa í för með sér mesta áhættuna fyrir viðskiptavini fyrirtækja. Samkvæmt öryggisuppfærslum fyrirtækisins hafa AWS og LastPass þegar brugðist við og sagt að málið hafi verið lagað.
Þú getur hjálpað Úkraínu að berjast gegn rússnesku innrásarhernum. Besta leiðin til að gera þetta er að gefa fé til hersins í Úkraínu í gegnum Bjarga lífi eða í gegnum opinberu síðuna NBU.
Lestu líka:
Vertu rólegur, notaðu Firefox
+