პარასკევს, otto-js კვლევითმა ჯგუფმა გამოაქვეყნა სტატია იმის შესახებ, თუ როგორ იყენებენ მომხმარებლები, რომლებიც იყენებენ Google Chrome-ის მართლწერის შემოწმების გაფართოებულ ფუნქციებს ან Microsoft Edge-მა შეიძლება გაუცნობიერებლად გადასცეს პაროლები და პერსონალური იდენტიფიცირებადი ინფორმაცია (PII) მესამე მხარის ღრუბლოვან სერვერებზე. ეს დაუცველობა არა მხოლოდ საფრთხეს უქმნის საშუალო საბოლოო მომხმარებლის პირად ინფორმაციას, არამედ მას შეუძლია ორგანიზაციის ადმინისტრაციული რწმუნებათა სიგელები და ინფრასტრუქტურასთან დაკავშირებული სხვა ინფორმაცია დაუცველი დატოვოს აუტსაიდერებისთვის.
დაუცველობა აღმოაჩინა otto-js-ის თანადამფუძნებელმა და CTO Josh Summit-მა კომპანიის სკრიპტის ქცევის გამოვლენის შესაძლებლობების ტესტირებისას. ტესტირების დროს Samit-მა და otto-js-ის გუნდმა დაადგინეს, რომ Chrome-ის გაუმჯობესებული მართლწერის შემმოწმებლის ან MS Editor-ში Edge-ში ფუნქციების სწორი კომბინაცია უნებლიედ ავლენდა ველის მონაცემებს, რომლებიც შეიცავს PII და სხვა მგრძნობიარე ინფორმაციას სერვერებზე დაბრუნებისას. Microsoft და Google. ორივე ფუნქცია მოითხოვს მკაფიო ქმედებებს მომხმარებლებისგან მათი ჩართვისთვის და, როგორც კი ჩართულია, მომხმარებლებმა ხშირად არ იციან, რომ მათი მონაცემები ზიარდება მესამე მხარეებთან.
გარდა საველე მონაცემებისა, otto-js-ის გუნდმა ასევე აღმოაჩინა, რომ მომხმარებლების პაროლების გამოვლენა შესაძლებელია პაროლის მაყურებლის ოფციის მეშვეობით. ეს პარამეტრი, რომელიც მომხმარებლებს დაეხმარება თავიდან აიცილონ პაროლების არასწორად შეყვანა, უნებლიედ ავლენს პაროლს მესამე მხარის სერვერებს მართლწერის შემოწმების გაფართოებული ფუნქციების მეშვეობით.
ცალკეული მომხმარებლები არ არიან რისკის ქვეშ მყოფი ერთადერთი მხარე. დაუცველობამ შეიძლება გამოიწვიოს კორპორატიული რწმუნებათა სიგელები არაავტორიზებული მესამე მხარის მიერ. otto-js-ის გუნდმა წარმოადგინა შემდეგი მაგალითები, სადაც ნაჩვენებია, თუ როგორ შეუძლიათ მომხმარებლებს, რომლებიც შედიან ღრუბლოვან სერვისებში და ინფრასტრუქტურის ანგარიშებში, გაუცნობიერებლად გადასცენ თავიანთი რწმუნებათა სიგელები სერვერებზე Microsoft ან Google.
პირველი სურათი (ზემოთ) გვიჩვენებს Alibaba Cloud ანგარიშში შესვლის მაგალითს. Chrome-ის მეშვეობით შესვლისას, მართლწერის შემოწმების გაფართოებული ფუნქცია აგზავნის შეკითხვის ინფორმაციას Google სერვერებზე ადმინისტრატორის ნებართვის გარეშე. როგორც სკრინშოტზე ხედავთ (ქვემოთ), ეს ინფორმაცია შეიცავს რეალურ პაროლს, რომელიც შეყვანილია კომპანიის ღრუბელში შესასვლელად. ამ სახის ინფორმაციაზე წვდომამ შეიძლება გამოიწვიოს ყველაფერი, კორპორატიული და მომხმარებელთა მონაცემების ქურდობიდან დაწყებული კრიტიკული ინფრასტრუქტურის სრულ კომპრომისამდე.
otto-js-ის გუნდმა ჩაატარა ტესტირება და ანალიზი იმ კრიტერიუმებზე, რომლებიც მიზნად ისახავს სოციალური მედიის, საოფისე ინსტრუმენტების, ჯანდაცვის, მთავრობის, ელექტრონული კომერციის და საბანკო/ფინანსური სერვისების მიმართ. ტესტირებული 96 საკონტროლო ჯგუფიდან 30%-ზე მეტმა გაგზავნა მონაცემები Microsoft და Google. შემოწმებული საიტებისა და ჯგუფების 73%-მა გაუგზავნა პაროლები მესამე მხარის სერვერებს, როდესაც ეს ვარიანტი აირჩია აჩვენე პაროლი. იმ საიტებსა და სერვისებს, რომლებიც არ აგზავნიდნენ პაროლებს, უბრალოდ არ გააჩნდათ ეს ფუნქცია აჩვენე პაროლი და სულაც არ იყვნენ სათანადოდ დაცული.
Otto-js-ის გუნდი დაუკავშირდა Microsoft 365, Alibaba Cloud, Google Cloud, AWS და LastPass, რომლებიც არიან ტოპ ხუთეული საიტი და ღრუბლოვანი სერვისის პროვაიდერები, რომლებიც უდიდეს რისკს უქმნიან საწარმოს მომხმარებლებს. კომპანიის უსაფრთხოების განახლებების თანახმად, AWS და LastPass უკვე გამოეხმაურნენ და განაცხადეს, რომ პრობლემა წარმატებით მოგვარდა.
თქვენ შეგიძლიათ დაეხმაროთ უკრაინას რუსი დამპყრობლების წინააღმდეგ ბრძოლაში. ამის საუკეთესო გზაა უკრაინის შეიარაღებული ძალებისთვის თანხების შემოწირულობა Savelife ან ოფიციალური გვერდის საშუალებით NBU.
ასევე წაიკითხეთ:
შეინარჩუნეთ სიმშვიდე, გამოიყენეთ Firefox
+