Ուրբաթ օրը otto-js հետազոտական թիմը հրապարակեց հոդված այն մասին, թե ինչպես են օգտվողներն օգտագործում Google Chrome-ի ուղղագրության ստուգման առաջադեմ գործառույթները կամ Microsoft Edge-ը կարող է անգիտակցաբար փոխանցել գաղտնաբառերը և անձնապես ճանաչելի տեղեկատվություն (PII) երրորդ կողմի ամպային սերվերներին: Այս խոցելիությունը ոչ միայն վտանգի տակ է դնում միջին վերջնական օգտագործողի անձնական տվյալները, այլ նաև կարող է անապահով թողնել կազմակերպության ադմինիստրատիվ հավատարմագրերը և ենթակառուցվածքի հետ կապված այլ տեղեկությունները կողմնակի անձանց համար:
Խոցելիությունը հայտնաբերվել է otto-js-ի համահիմնադիր և CTO Josh Summit-ի կողմից՝ ընկերության սցենարների վարքագծի հայտնաբերման հնարավորությունները փորձարկելիս: Փորձարկման ժամանակ Samit-ը և otto-js թիմը պարզել են, որ Chrome-ի ուժեղացված ուղղագրիչի կամ MS Editor-ի Edge-ի գործառույթների ճիշտ համակցությունը ակամա բացահայտում է PII և այլ զգայուն տեղեկություններ պարունակող դաշտային տվյալները, երբ դրանք հետ ուղարկվում են սերվերներ: Microsoft և Google-ը։ Երկու գործառույթներն էլ պահանջում են օգտատերերից հստակ գործողություններ՝ դրանք միացնելու համար, և երբ միացված է, օգտվողները հաճախ չգիտեն, որ իրենց տվյալները կիսվում են երրորդ կողմերի հետ:
Բացի դաշտային տվյալներից, otto-js թիմը նաև հայտնաբերել է, որ օգտատերերի գաղտնաբառերը կարող են բացահայտվել գաղտնաբառերի դիտման տարբերակի միջոցով: Այս տարբերակը, որն օգնում է օգտատերերին խուսափել գաղտնաբառերը սխալ մուտքագրելուց, գաղտնաբառն ակամա բացահայտում է երրորդ կողմի սերվերներին՝ ուղղագրության ստուգման առաջադեմ գործառույթների միջոցով:
Առանձին օգտատերերը վտանգի տակ գտնվող միակ կողմը չեն: Խոցելիությունը կարող է հանգեցնել կորպորատիվ հավատարմագրերի վտանգմանը չարտոնված երրորդ անձանց կողմից: otto-js թիմը ներկայացրել է հետևյալ օրինակները, որոնք ցույց են տալիս, թե ինչպես են օգտվողները, որոնք մուտք են գործել ամպային ծառայություններ և ենթակառուցվածքային հաշիվներ, կարող են անգիտակցաբար փոխանցել իրենց հավատարմագրերը սերվերներին: Microsoft կամ Google-ը:
Առաջին պատկերը (վերևում) ցույց է տալիս Alibaba Cloud հաշիվ մուտք գործելու օրինակ: Երբ մուտք եք գործում Chrome-ի միջոցով, ուղղագրության ստուգման առաջադեմ գործառույթն առանց ադմինիստրատորի թույլտվության ուղարկում է հարցումների տեղեկությունները Google սերվերներին: Ինչպես տեսնում եք սքրինշոթում (ներքևում), այս տեղեկատվությունը ներառում է իրական գաղտնաբառը, որը մուտքագրվել է ընկերության ամպ մուտք գործելու համար: Այս տեսակի տեղեկատվության հասանելիությունը կարող է հանգեցնել ամեն ինչի՝ կորպորատիվ և հաճախորդների տվյալների գողությունից մինչև կարևորագույն ենթակառուցվածքի ամբողջական փոխզիջում:
otto-js թիմը թեստավորում և վերլուծություն է իրականացրել սոցիալական մեդիայի, գրասենյակային գործիքների, առողջապահության, կառավարության, էլեկտրոնային առևտրի և բանկային/ֆինանսական ծառայությունների վրա ուղղված հենանիշերի վրա: Փորձարկված 96 հսկիչ խմբերի ավելի քան 30%-ն ուղարկել է տվյալները Microsoft և Google-ը։ Փորձարկված կայքերի և խմբերի 73%-ը գաղտնաբառեր է ուղարկել երրորդ կողմի սերվերներին, երբ ընտրվել է տարբերակը ցույց տալ գաղտնաբառը. Այն կայքերն ու ծառայությունները, որոնք գաղտնաբառեր չէին ուղարկում, պարզապես այդ հնարավորությունը չունեին ցույց տալ գաղտնաբառը և անպայմանորեն պատշաճ կերպով պաշտպանված չէին:
Օտտո-ջս թիմը կապ է հաստատել Microsoft 365, Alibaba Cloud-ը, Google Cloud-ը, AWS-ը և LastPass-ը, որոնք լավագույն հինգ կայքերն ու ամպային ծառայություններ մատուցողներն են, որոնք ամենամեծ ռիսկն են ներկայացնում ձեռնարկության հաճախորդների համար: Ընկերության անվտանգության թարմացումների համաձայն, AWS-ը և LastPass-ն արդեն պատասխանել են և ասել, որ խնդիրը հաջողությամբ շտկվել է:
Դուք կարող եք օգնել Ուկրաինային պայքարել ռուս զավթիչների դեմ։ Դա անելու լավագույն միջոցը Ուկրաինայի զինված ուժերին միջոցների նվիրաբերումն է Savelife կամ պաշտոնական էջի միջոցով NBU.
Կարդացեք նաև.
Հանգստացեք, օգտագործեք Firefox
+